個 人 情 報 特 定 手 順 書 制 定 日 2010 年 mm 月 dd 日 第 1 版 目 次 1.なぜ 個 人 情 報 の 特 定 を 行 なうのか... 1 2. 個 人 情 報 とは 何 か... 2 3. 個 人 情 報 取 扱 いの 流 れ... 4 4. 個 人 情 報 管 理 の 全 体 像... 6 5. 既 存 の 個 人 情 報 を 特 定 する 方 法... 7 6. 新 規 取 得 時 の 管 理 手 順... 17 7. 個 人 情 報 の 変 更 削 除 等 の 場 合 の 管 理 手 順... 18 8. 個 人 情 報 管 理 台 帳 の 見 直 し 手 順... 19 株 式 会 社
1.なぜ 個 人 情 報 の 特 定 を 行 なうのか 個 人 情 報 は 会 社 の 業 務 の 遂 行 過 程 で 入 手 し 使 用 される 企 業 活 動 に 欠 くことのできない 重 要 な 資 産 です 個 人 情 報 を 有 効 に 活 用 し 適 切 に 管 理 し 適 正 に 保 護 するためには まず 業 務 の 中 にどのような 個 人 情 報 が 存 在 し それがどのように 取 り 扱 われているかを 的 確 に 把 握 し なければなりません 業 務 で 取 り 扱 っている 個 人 情 報 の 管 理 は 会 社 が 保 有 している 様 々な 種 類 の 情 報 の 中 か ら 個 人 に 関 する 情 報 を 洗 い 出 し どのようなものか 具 体 的 に 把 握 することによって 可 能 になります そして これらの 洗 い 出 した 個 人 情 報 を 個 人 情 報 管 理 台 帳 に 記 載 することに より 管 理 された 個 人 情 報 となります また 個 人 情 報 が 業 務 においてどのように 取 り 扱 われているか 現 状 を 把 握 し リスクを 認 識 することによって 必 要 な 対 策 を 明 らかにすることができます 本 手 順 書 では 個 人 情 報 を 洗 い 出 し 個 人 情 報 管 理 台 帳 を 作 成 するための 手 順 さらに 個 人 情 報 管 理 台 帳 へ 項 目 を 追 加 したり 変 更 したりする 手 順 について 解 説 します 1
2. 個 人 情 報 とは 何 か (1) 個 人 情 報 の 定 義 個 人 情 報 の 特 定 を 行 なう 前 に まず 個 人 情 報 とは 何 かを 理 解 しなければなりません JISQ15001:2006 では 以 下 のように 規 定 されています 個 人 に 関 する 情 報 であって 当 該 情 報 に 含 まれる 氏 名 生 年 月 日 その 他 の 記 述 などによって 特 定 の 個 人 を 識 別 することができるもの( 他 の 情 報 と 容 易 に 照 合 することができ それによ って 特 定 の 個 人 を 識 別 することができるものを 含 む) (2) 個 人 情 報 の 判 断 基 準 特 定 の 個 人 を 特 定 できるかが 個 人 情 報 であるか 否 かを 判 断 する 基 準 です 氏 名 を 含 む 情 報 は 一 般 に 特 定 の 個 人 を より 容 易 に 識 別 することができますので 氏 名 は 個 人 情 報 を 構 成 する 最 も 有 力 な 要 素 の1つであることは 言 うまでもありません 個 人 情 報 に 該 当 する 東 京 都 在 住 会 社 員 40 歳 太 郎 XXXX 株 式 会 社 東 京 都 XXX 区 電 話 03-XXX-XXXX 人 事 部 長 個 人 情 報 に 該 当 しない 東 京 都 在 住 会 社 員 男 性 30 歳 ( 個 人 は 特 定 できない) XXXX 株 式 会 社 東 京 都 XXX 区 電 話 番 号 03-XXX-XXXX ( 会 社 の 情 報 のみ) (3) 企 業 における( 当 社 における) 個 人 情 報 企 業 における 個 人 情 報 は さまざまなデータとして 存 在 します 以 下 の 例 にあるように 氏 名 生 年 月 日 性 別 住 所 電 話 番 号 電 子 メールアドレス 身 体 的 特 性 学 歴 社 会 的 地 位 音 声 画 像 映 像 などの 情 報 のいくつかが 含 まれ 組 み 合 わされています 取 引 先 関 係 者 名 リスト DM 宛 名 リスト 人 事 関 係 情 報 社 員 / 協 力 会 社 員 緊 急 連 絡 簿 名 刺 綴 り 情 報 技 術 / 技 能 / 資 格 者 名 簿 メールアドレス 簿 携 帯 電 話 番 号 帳 防 犯 カメラ 等 の 映 像 (4) 個 人 情 報 には 特 定 の 番 号 も 含 まれます 当 該 情 報 だけでは 特 定 の 個 人 を 識 別 できないが 他 の 情 報 と 容 易 に 照 合 でき それによって 特 定 の 個 人 を 識 別 できるもの も 個 人 情 報 に 該 当 します 社 員 番 号 健 康 保 険 証 番 号 年 金 手 帳 番 号 銀 行 口 座 番 号 住 民 基 本 台 帳 番 号 クレジットカードナンバー (5) 個 人 情 報 の 区 分 個 人 情 報 は 内 容 により 基 本 的 な 個 人 情 報 重 要 な 個 人 情 報 機 微 な 個 人 情 報 に 区 別 さ れます 重 要 な 個 人 情 報 機 微 な 個 人 情 報 については 特 に 取 り 扱 いに 注 意 が 必 要 となり 2
ます 基 本 的 な 個 人 情 報 氏 名 性 別 生 年 月 日 住 所 電 話 番 号 メールアドレス 会 社 名 付 与 番 号 重 要 な 個 人 情 報 経 歴 成 績 経 済 的 属 性 心 身 情 報 生 活 事 項 所 得 収 入 体 格 体 力 資 産 状 況 運 動 能 力 取 引 状 況 写 真 肖 像 口 座 番 号 等 学 業 学 歴 職 業 職 歴 地 位 資 格 成 績 評 価 賞 罰 家 族 状 況 親 族 続 柄 婚 姻 居 住 状 況 意 見 要 望 趣 味 嗜 好 特 定 の 機 微 な 個 人 情 報 思 想 信 条 および 宗 教 人 種 民 族 門 地 本 籍 地 身 体 精 神 障 害 犯 罪 歴 労 働 者 の 団 結 権 団 体 交 渉 その 他 団 体 行 動 の 行 為 に 関 する 事 項 集 団 示 威 行 為 への 参 加 請 願 権 の 行 使 その 他 政 治 的 権 利 の 行 使 に 関 する 事 項 保 健 医 療 および 性 生 活 に 関 する 事 項 JIS Q 15001 では 以 下 の 場 合 を 除 き 特 定 の 機 微 な 個 人 情 報 についての 取 得 利 用 または 提 供 を 原 則 として 禁 じています 1 明 示 的 な 本 人 の 同 意 がある 場 合 2 法 令 に 基 づく 場 合 3 人 の 生 命 身 体 又 は 財 産 の 保 護 のために 必 要 がある 場 合 であって 本 人 の 同 意 を 得 るこ とが 困 難 である 場 合 4 公 衆 衛 生 の 向 上 又 は 児 童 の 健 全 な 育 成 の 推 進 のために 特 に 必 要 がある 場 合 であって 本 人 の 同 意 を 得 ることが 困 難 である 場 合 5 国 の 機 関 若 しくは 地 方 公 共 団 体 又 はその 委 託 を 受 けた 者 が 法 令 の 定 める 事 務 を 遂 行 する ことに 対 して 協 力 する 必 要 がある 場 合 であって 本 人 の 同 意 を 得 ることによって 当 該 事 務 の 遂 行 に 支 障 を 及 ぼすおそれがある 場 合 3
3. 個 人 情 報 取 扱 いの 流 れ (1) 個 人 情 報 取 扱 の 流 れ 個 人 情 報 は 業 務 の 実 行 する 過 程 において 取 得 ( 入 力 )され 利 用 ( 加 工 )され 保 管 (バッ クアップ)され そして 廃 棄 ( 消 去 )される という 一 連 の 流 れで 処 理 されます 場 合 によって は 外 部 の 事 業 者 への 提 供 や 取 扱 いの 委 託 が 行 なわれることもあります また これらの 過 程 で 社 内 外 への 移 送 ( 送 信 )も 行 なわれます 特 定 された 個 人 情 報 は この 一 連 の 流 れの 各 局 面 ごとに 把 握 され 管 理 されます 社 内 利 用 ( 加 工 ) 本 人 から 直 接 書 面 で 本 人 から 書 面 以 外 で 間 接 的 に 取 得 移 送 送 信 提 供 先 取 扱 いの 委 託 先 倉 庫 業 者 廃 棄 業 者 等 保 管 廃 棄 括 弧 内 は JIS 規 格 記 述 事 項 の 概 要 です 取 得 入 力 個 人 情 報 を 入 手 すること 情 報 システムに 入 力 すること 正 当 な 事 業 の 範 囲 内 で 利 用 目 的 を 明 確 に 定 め その 目 的 の 達 成 に 必 要 な 限 度 において 取 得 す ること 使 用 の 形 態 ( 利 用 提 供 取 扱 いの 委 託 ) 目 的 保 護 管 理 者 等 を 書 面 等 で 通 知 し 本 人 の 同 意 を 得 ること また 個 人 情 報 の 取 得 には 直 接 書 面 によって 取 得 するものとそれ 以 外 の2 通 りの 取 得 方 式 がある 本 人 からの 直 接 書 面 による 取 得 書 面 には 電 子 的 磁 気 的 なものも 含 む 申 込 書 履 歴 書 アンケート Webからの 入 力 など それ 以 外 の 方 法 による 取 得 本 人 から 書 面 以 外 で( 防 犯 カメラ 電 話 など) 本 人 以 外 の 第 三 者 を 経 由 し 取 得 したり 公 開 情 報 を 取 得 する(ホームページ 市 販 の 名 簿 など) 4
利 用 加 工 事 業 者 が 当 該 事 業 者 内 で 個 人 情 報 を 処 理 すること 特 定 した 利 用 目 的 の 達 成 に 必 要 な 範 囲 内 で 行 うこと 提 供 事 業 者 が 自 己 以 外 のものに 自 ら 保 有 する 個 人 情 報 を 利 用 可 能 にすること 原 則 として 本 人 の 同 意 を 得 た 上 で 提 供 すること 取 扱 いの 委 託 事 業 者 が 自 己 以 外 のものに 情 報 処 理 を 委 託 するなどのために 自 ら 保 有 す る 個 人 情 報 を 預 けること 個 人 情 報 の 保 護 水 準 を 十 分 に 満 たしている 委 託 先 を 選 定 すること 選 定 する 基 準 を 確 立 すること 委 託 先 に 対 し 必 要 かつ 適 切 な 監 督 を 行 うこと 契 約 により 十 分 な 個 人 情 報 の 保 護 水 準 を 担 保 すること 保 管 バックアップ 紙 電 子 などの 媒 体 形 式 の 如 何 にかかわらず 個 人 情 報 を 管 理 し て 保 存 すること 廃 棄 消 去 紙 電 子 などの 媒 体 形 式 の 如 何 にかかわらず 個 人 情 報 を 使 用 できないよ う 処 分 すること 移 送 送 信 上 記 ライフサイクルに 伴 って 個 人 情 報 が 移 動 すること (2) 各 局 面 ごとのリスク 個 人 情 報 は 取 扱 いの 流 れのそれぞれの 段 階 で 色 々なリスクが 発 生 します このリスクを 局 面 ごとに 認 識 し リスクに 対 応 した 安 全 対 策 を 実 施 することが 個 人 情 報 を 保 護 することになり ます 代 表 的 なリスクには 漏 えい 滅 失 き 損 等 があります 漏 え い 機 密 情 報 が 外 部 に 知 られてしまうこと 滅 失 盗 難 紛 失 災 害 などにより 物 理 的 に 無 くなってしまうこと き 損 壊 れたり 正 確 な 状 態 でなくなったりすること そ の 他 関 連 する 法 令 及 びその 他 の 規 範 に 対 する 違 反 想 定 される 経 済 的 な 不 利 益 及 び 社 会 的 な 信 用 の 失 墜 のおそれなど 5
4. 個 人 情 報 管 理 の 全 体 像 社 内 における 個 人 情 報 の 把 握 とリスク 管 理 の 実 務 は 個 人 情 報 管 理 台 帳 と 個 人 情 報 リス ク 分 析 対 策 表 において 行 っていきます この 概 要 を 以 下 に 示 します 個 人 情 報 を 洗 い 出 し 個 人 情 報 管 理 台 帳 を 作 成 することが 個 人 情 報 管 理 の 第 一 歩 となり ます しかし 個 人 情 報 管 理 台 帳 を 作 成 し 維 持 更 新 するだけでは 個 人 情 報 を 管 理 して いることにはなりません 個 人 情 報 を 管 理 するためには 取 扱 いの 各 局 面 に 潜 むリスクを 認 識 し 安 全 対 策 を 実 施 することも 重 要 な 作 業 です そのために 必 要 な 作 業 が リスク 分 析 です リスク 分 析 ( 下 図 点 線 部 分 )については 個 人 情 報 リスク 分 析 手 順 書 で 詳 しく 解 説 するこ ととし 次 ページ 以 降 では 個 人 情 報 の 洗 い 出 しから 個 人 情 報 管 理 台 帳 の 維 持 管 理 につ いて 説 明 します 個 人 情 報 とは 何 かを 理 解 する 個 人 情 報 ワークシート で 個 人 情 報 を 洗 い 出 す 取 扱 い 方 法 を 記 述 する リスクを 認 識 する 対 応 策 を 検 討 する 個 人 情 報 管 理 台 帳 個 人 情 報 リスク 分 析 対 策 表 個 人 情 報 の 新 規 取 得 取 扱 い 変 更 に 応 じて 台 帳 の 維 持 管 理 を 行 う 定 期 的 な 内 容 の 見 直 しを 行 う 台 帳 の 変 更 に 応 じて 維 持 管 理 を 行 う 定 期 的 な 内 容 の 見 直 しを 行 う 6
5. 既 存 の 個 人 情 報 を 特 定 する 方 法 既 存 の 個 人 情 報 の 特 定 は 以 下 の 手 順 で 行 ないます ステップ1 個 人 情 報 ワークシート において 既 存 の 個 人 情 報 を 棚 卸 しする ステップ2 個 人 情 報 ワークシート を 元 に 個 人 情 報 管 理 台 帳 を 作 成 し 承 認 を 受 ける ステップ3 個 人 情 報 ワークシート に 記 載 した 取 扱 い 方 法 を 元 にリスク 分 析 を 行 い 個 人 情 報 リスク 分 析 対 策 表 を 作 成 し 承 認 を 受 ける では 以 下 に 各 ステップの 内 容 を 説 明 していきます ステップ1: 個 人 情 報 ワークシート による 既 存 の 個 人 情 報 を 棚 卸 し 個 人 情 報 についての 定 義 や 概 念 および 具 体 例 などは 十 分 に 理 解 できたことと 思 います 続 い ては 会 社 が 保 有 している 様 々な 種 類 の 情 報 の 中 から 個 人 情 報 に 該 当 するもの を 抽 出 し 個 人 情 報 管 理 台 帳 の 元 となる 個 人 情 報 ワークシート の 基 本 項 目 欄 に 記 入 します この 抽 出 作 業 を 進 める 際 は 職 場 ごとの 一 つ 一 つの 業 務 を 切 り 口 として その 業 務 において 取 扱 わ れている 個 人 情 報 に 該 当 するもの を 抽 出 します さらに 取 扱 いの 各 局 面 ごとに どのよ うに 取 り 扱 っているかも 合 わせて 記 載 します 個 人 情 報 ワークシート と 個 人 情 報 管 理 台 帳 個 人 情 報 ワークシート は 個 人 情 報 管 理 台 帳 作 成 の 準 備 段 階 として 社 内 の 個 人 情 報 を 洗 い 出 す 際 に 使 用 するものです また どのように 保 管 するか どのように 移 送 や 送 信 する かについても 記 述 するものですので 個 人 情 報 に 係 わるリスク 分 析 を 実 施 する 上 でも 重 要 な ものです 個 人 情 報 管 理 台 帳 は 個 人 情 報 ワークシート を 元 に 作 成 するものですが 社 内 文 書 として 管 理 する 便 宜 上 情 報 名 や 管 理 者 アクセス 権 者 取 得 方 法 等 の 重 要 項 目 に 絞 って 表 記 したものです この 個 人 情 報 管 理 台 帳 は 社 内 の 承 認 を 経 て 継 続 的 な 個 人 情 報 の 管 7
理 のために 使 用 します 個 人 情 報 管 理 台 帳 は PMS 文 書 の 一 つとして 文 書 管 理 規 則 に 則 った 管 理 の 対 象 となります 個 人 情 報 ワークシートの 記 入 要 領 ここではワークシート 各 項 目 の 記 入 要 領 について 説 明 します 具 体 例 については 9 ページ 以 下 に まとめましたので 参 考 にして 下 さい なお 記 載 項 目 欄 に * が 付 いている 項 目 は 必 須 項 目 で あり は 選 択 対 象 記 載 項 目 です 内 は 選 択 項 目 です 記 載 項 目 記 載 要 領 登 録 日 登 録 年 月 日 を 記 入 する 更 新 日 更 新 年 月 日 を 記 入 する 管 理 番 号 管 理 No.(*) 管 理 番 号 を 記 入 する 基 本 部 門 (*) 取 扱 う 部 門 名 を 記 入 する 管 理 責 任 者 (*) 取 扱 いの 管 理 責 任 者 を 記 入 する 情 報 名 (*) 当 該 業 務 の 社 内 で 使 っている 情 報 名 又 は 帳 票 名 を 記 入 する 個 人 情 報 の 内 容 (*) 個 人 情 報 の 項 目 を 記 入 する 利 用 目 的 (*) 個 人 情 報 の 利 用 目 的 ( 業 務 の 名 称 )を 具 体 的 に 記 入 する 件 数 (*) 個 人 情 報 の 件 数 を 記 入 する 情 報 媒 体 (*) 情 報 媒 体 を 選 択 する 紙 電 子 ファイル 開 示 対 象 / 非 対 象 (*) 開 示 対 象 個 人 情 報 か 否 かを 選 択 する 開 示 対 象 非 対 象 個 人 情 報 区 分 (*) 個 人 情 報 の 区 分 を 選 択 する 基 本 情 報 重 要 情 報 機 微 情 報 取 得 / 入 力 移 送 / 送 信 方 法 (*) 取 得 の 際 の 移 送 / 送 信 方 法 を 選 択 する 手 渡 し セキュリティ 便 配 達 証 明 郵 便 Web(SSL) Web 宅 配 便 FTP 普 通 郵 便 FAX e メール( 保 護 あり) e メール( 保 護 なし) LAN/WAN なし 取 得 分 類 (*) 取 得 の 分 類 ( 経 路 )を 選 択 する 本 人 から 直 接 書 面 で 本 人 から 書 面 以 外 で 取 引 先 等 から 公 開 された 情 報 から 社 内 作 成 利 用 / 加 工 移 送 / 送 信 方 法 (*) 利 用 のため 又 は 利 用 時 の 移 送 / 送 信 方 法 を 選 択 する 手 渡 し セキュリティ 便 配 達 証 明 郵 便 Web(SSL) Web 宅 配 便 FTP 普 通 郵 便 FAX e メール( 保 護 あり) e メール( 保 護 なし) LAN/WAN なし 利 用 可 能 者 (*) アクセス 権 限 が 許 可 された 利 用 者 を 記 入 する 一 時 保 管 場 所 の 施 錠 管 利 用 の 際 に 一 時 保 管 する 場 所 の 施 錠 管 理 の 状 態 を 選 択 する 理 (*) 常 時 施 錠 退 社 時 施 錠 開 放 利 用 場 所 のセキュリテ 利 用 場 所 がセキュリティ 区 画 され ゾーン 管 理 しているレベルを 選 択 ィ 区 画 (*) する 高 中 低 無 アクセス 管 理 (*) アクセス 管 理 の 有 無 を 選 択 する 有 無 提 供 移 送 / 送 信 方 法 (*) 提 供 のための 移 送 / 送 信 方 法 を 選 択 する 手 渡 し セキュリティ 便 配 達 証 明 郵 便 Web(SSL) Web 宅 配 便 FTP 普 通 郵 便 FAX e メール( 保 護 あり) e メール( 保 護 なし) LAN/WAN なし 提 供 先 (*) 第 三 者 提 供 先 を 記 入 する 該 当 しない 場 合 は なし とする 8
委 託 移 送 / 送 信 方 法 (*) 委 託 のための 移 送 / 送 信 方 法 を 選 択 する 手 渡 し セキュリティ 便 配 達 証 明 郵 便 Web(SSL) Web 宅 配 便 FTP 普 通 郵 便 FAX e メール( 保 護 あり) e メール( 保 護 なし) LAN/WAN なし 委 託 先 (*) 委 託 先 を 記 入 する 該 当 しない 場 合 は なし とする 保 管 / バックア ップ 消 去 / 廃 棄 移 送 / 送 信 方 法 (*) 保 管 のための 移 送 / 送 信 方 法 を 選 択 する 手 渡 し セキュリティ 便 配 達 証 明 郵 便 Web(SSL) Web 宅 配 便 メール 便 FTP 普 通 郵 便 FAX e メール( 保 護 あり) e メール( 保 護 なし) LAN/WAN な し 保 管 形 態 (*) 保 管 されている 形 態 を 選 択 する 紙 : 紙 電 子 ファイル:MO CD USB DAT ハート テ ィスク FD 電 子 (その 他 ) 保 管 サイト 本 社 支 店 営 業 所 等 の 保 管 サイトを 記 入 する 保 管 場 所 (*) 保 管 場 所 を 選 択 する 管 理 有 倉 庫 管 理 無 倉 庫 金 庫 施 錠 キャヒ ネット キャヒ ネット 施 錠 机 机 サーハ テ スクトッフ ハ ソコン ノートハ ソコン その 他 バックアップ 周 期 (*) バックアップ 周 期 を 選 択 する 毎 日 週 単 位 月 単 位 半 年 単 位 年 単 位 なし 施 錠 管 理 (*) 保 管 場 所 の 施 錠 管 理 の 状 態 を 選 択 する 常 時 施 錠 退 社 時 施 錠 開 放 保 管 期 間 (*) 保 管 期 間 保 管 期 限 を 記 入 する 移 送 / 送 信 方 法 (*) 廃 棄 のための 移 送 / 送 信 方 法 を 選 択 する 手 渡 し セキュリティ 便 配 達 証 明 郵 便 Web(SSL) Web 宅 配 便 FTP 普 通 郵 便 FAX e メール( 保 護 あり) e メール( 保 護 なし) LAN/WAN なし 方 法 ( 紙 )(*) 情 報 媒 体 が 紙 の 場 合 の 廃 棄 方 法 を 選 択 する 社 内 シュレッタ 委 託 シュレッタ 溶 解 処 分 焼 却 処 分 規 則 無 し 廃 棄 しない 返 却 方 法 ( 電 子 )(*) 情 報 媒 体 が 電 子 ファイル の 場 合 の 消 去 廃 棄 方 法 を 選 択 する 物 理 的 破 壊 セキュリティフォーマット クイックフォーマット 削 除 規 則 なし 廃 棄 しない 返 却 9
ワークシートの 具 体 的 記 載 例 以 下 は 実 際 にワークシートを 記 載 する 際 の 目 安 として 参 考 にして 下 さい ⅰ) 基 本 管 理 責 任 者 承 認 作 成 廃 棄 へのアクセス 権 限 について 管 理 責 任 を 有 する 管 理 部 署 名 もしくは 管 理 者 名 ( 職 名 )を 記 入 します 件 数 個 人 情 報 の 概 数 を 記 載 します 1 人 1 件 として 件 数 を 把 握 します ( 大 量 にある 場 合 や 変 動 が 多 い 場 合 およその 数 量 で 結 構 です ) 件 数 は 原 則 累 計 件 数 を 記 載 してください 但 し 変 動 要 素 が 大 きい 場 合 は 月 平 均 や 年 平 均 の 記 載 でも 構 いません 但 し その 場 合 は 累 計 件 数 でないことがわかるように 件 / 月 や 件 / 年 のような 記 載 をしてください 情 報 媒 体 利 用 時 の 情 報 媒 体 を 選 択 します 情 報 媒 体 の 特 徴 でリスクが 想 定 できるものとします 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 紙 伝 票 帳 票 議 事 録 等 紙 媒 体 のもの 電 子 ファイル サーバ パソコン 電 子 記 憶 媒 体 上 の 電 子 ファイル 開 示 対 象 / 非 対 象 開 示 対 象 個 人 情 報 か 否 かを 選 択 します 開 示 対 象 個 人 情 報 とは: 電 子 的 非 電 子 的 を 問 わず 検 索 可 能 な 状 態 で 体 系 的 に 構 成 した 情 報 の 集 合 物 を 構 成 する 個 人 情 報 であって 本 人 から 求 められる 開 示 内 容 の 訂 正 追 加 又 は 削 除 利 用 の 停 止 消 去 及 び 第 三 者 提 供 の 停 止 の 求 めに 応 じる 権 限 を 有 しているもの 例 :あいうえお 順 等 で 整 理 された 名 刺 会 員 データベースに 登 録 された 会 員 情 報 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 開 示 対 象 検 索 可 能 な 情 報 の 集 合 物 で かつ 開 示 等 の 権 限 を 有 するもの 非 対 象 委 託 元 から 預 託 されているもの 検 索 可 能 な 状 態 となっていないも の( 一 般 的 には 業 務 で 利 用 する 個 人 情 報 は 利 用 できるようにす るために 検 索 可 能 ( 捜 し 出 せる)な 状 態 となっているはず) その 他 次 の 除 外 項 目 に 該 当 するもの < 除 外 項 目 > 1 本 人 または 第 三 者 の 生 命 身 体 財 産 その 他 の 権 利 利 益 を 害 するおそれがある 場 合 (3.4.4.1a 及 び 3.4.4.5a) 2 違 法 又 は 不 当 な 行 為 を 助 長 し 又 は 誘 発 するおそれがある 場 合 (3.4.4.1b 及 び 3.4.4.5c) 3 国 の 安 全 が 害 されるおそれ 他 国 若 しくは 国 際 機 関 との 信 頼 関 係 が 損 なわれるおそれ 又 は 他 国 若 しくは 国 際 機 関 との 交 渉 上 不 利 益 を 被 るおそれがある 場 合 (3.4.4.1c) 10
4 犯 罪 の 予 防 鎮 圧 又 は 捜 査 その 他 の 公 共 の 安 全 と 秩 序 維 持 に 支 障 が 及 ぶおそれがある 場 合 (3.4.4.1d) 5 事 業 者 の 業 務 の 適 正 な 実 施 に 著 しい 支 障 を 及 ぼすおそれがある 場 合 ⅱ) 取 得 / 入 力 ( 他 の 局 面 にもあり) 移 送 / 送 信 方 法 手 渡 し 直 接 本 人 ( 代 理 人 )から 受 け 取 る 場 合 作 成 社 内 のデータベース 伝 票 帳 票 を 元 に 編 集 作 成 する 場 合 社 外 の 配 送 サービス セキュリティ 便 配 達 証 明 郵 便 普 通 郵 便 から 選 択 FAX FAX により 受 信 する 場 合 Web Web(SSL) FTP eメ ネットワークを 経 由 して 電 子 的 取 得 をする 場 合 ール( 保 護 あり) eメール ( 保 護 なし) SSL:Secure Socket Layer インターネット 上 で 情 報 を 暗 号 化 し 送 受 信 することで 安 全 に 送 受 信 することができる 通 信 方 式 のこと FTP:File Transfer Protocol インターネット 上 でファイルを 転 送 するときに 使 われるプロトコル 保 護 あり 保 護 なし: 暗 号 化 やパスワード 付 保 存 などの 処 理 を 行 なっているか 否 か ⅲ) 利 用 / 加 工 利 用 可 能 者 アクセス 権 限 が 許 可 された 部 署 名 もしくは 担 当 者 名 を 記 入 します 一 時 保 管 場 所 の 施 錠 管 理 利 用 の 際 一 時 的 に 保 管 する 場 所 の 施 錠 管 理 の 状 態 を 選 択 します 施 錠 方 法 によりリスクが 想 定 できます 情 報 媒 体 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 紙 と 常 時 施 錠 書 類 を 利 用 する 時 にだけ 開 錠 される 場 合 電 子 記 憶 媒 体 退 社 時 施 錠 執 務 時 間 中 に 開 錠 される 場 合 (MO,CD,USB 等 ) 開 放 鍵 による 管 理 をしていない 場 合 電 子 ファイル(HD) 常 時 施 錠 サーバ 室 で 管 理 されているサーバ デスクトップパソコン ノートパソコン ラック 等 で 保 護 された 職 場 サーバ デス クトップパソコン ノートパソコン 退 社 時 施 錠 チェーン 等 で 盗 難 対 策 しているノートパソコン ラック 等 はないが 鍵 付 きサーバ 持 ち 運 びが 困 難 なデスクトップパ ソコン 開 放 ノートパソコン 持 ち 運 びが 容 易 なデスクトップパソコン 保 護 されていないサーバ 11
利 用 場 所 のセキュリティ 区 画 利 用 場 所 の 設 備 面 から 見 た 物 理 的 セキュリティ 保 護 水 準 として 該 当 するレベルを 選 択 します 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 高 入 退 を 管 理 されたサーバ 室 金 庫 室 カードで 管 理 された 執 務 室 等 中 通 常 の 執 務 室 低 受 付 受 付 から 自 由 に 入 れる 応 接 室 会 議 室 等 無 他 社 との 共 有 フロア カフェ 等 現 在 未 決 定 セキュリティ 区 画 の 例 商 談 用 応 接 B 高 金 庫 室 常 時 施 錠 中 経 理 部 他 社 応 接 A 執 務 室 共 有 スペース 低 中 無 受 付 常 時 施 錠 サーバ 室 会 議 室 役 員 室 エレベータ 高 中 中 アクセス 管 理 情 報 媒 体 別 に アクセス 管 理 の 有 無 を 選 択 します 情 報 媒 体 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 紙 の 場 合 有 特 定 の 鍵 管 理 者 だけが 利 用 できる 場 合 無 不 特 定 の 人 が 利 用 する 可 能 性 がある 場 合 電 子 ファイルの 場 合 有 パソコン 上 のファイルはスクリーンセーバー 等 で 保 護 されている 場 合 ファイルサーバのファイルは アクセ ス 権 が 明 確 に 区 分 されている 場 合 無 不 特 定 の 人 が 利 用 する 可 能 性 がある 場 合 ⅳ) 保 管 /バックアップ 保 管 形 態 保 管 されている 形 態 を 選 択 します 保 管 形 態 の 物 理 的 な 特 徴 でリスクが 想 定 できるものとします 12
情 報 媒 体 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 紙 の 場 合 紙 紙 に 記 載 されたもの 出 力 されたもの 電 子 ファイル MO CD USB DAT ハードディスク FD その 他 記 録 メディアを 選 択 保 管 サイト 本 店 支 店 営 業 所 等 の 保 管 サイトを 記 入 します 原 則 はビル( 建 物 )をひとつのサイトとし そのサイトごとの 物 理 的 人 的 組 織 的 技 術 的 な 特 徴 でリスクを 想 定 できるものとします 会 社 ごとに サイト 名 を 決 め 統 一 したサイト 名 が 入 力 されるようにします 事 例 内 容 サイト 記 入 例 事 例 1 東 京 大 阪 名 古 屋 にそれぞれ1つのビルがある 場 合 東 京 大 阪 名 古 屋 事 例 2 東 京 に2 拠 点 大 阪 に1 拠 点 という 場 合 東 京 A ビル 東 京 B ビル 大 阪 事 例 3 1フロアに 100 人 以 上 はいる 大 型 のビル( 東 京 C ビル)の 14 階 15 階 16 階 に 拠 点 があり フロアごとに 入 退 出 管 理 を 分 けている 場 合 東 京 C ビル 14F 東 京 C ビル 15F 東 京 C ビル 16F 事 例 4 東 京 に 本 社 ビル( 東 京 D ビル)だけの 場 合 本 社 事 例 5 大 阪 の 執 務 室 のパソコンから 通 常 利 用 しているフォルダ 東 京 C ビル が 実 際 は 東 京 C ビルにあるサーバ 上 にある 場 合 事 例 6 データベースをホスティング 等 により 運 用 している 場 合 委 託 先 会 社 名 保 管 場 所 個 人 情 報 の 保 管 場 所 を 記 入 します 保 管 場 所 の 物 理 的 な 特 徴 によりリスクが 想 定 できるものとし ます 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 管 理 有 倉 庫 管 理 を 委 託 した 専 用 倉 庫 会 社 定 期 的 にたな 卸 しをし 鍵 管 理 がされている 社 内 倉 庫 管 理 無 倉 庫 コンテナ 状 態 のもの たな 卸 しされていない 鍵 管 理 がされていない 金 庫 特 定 の 番 号 及 び 鍵 により 施 錠 可 能 な 金 庫 施 錠 キャビネット 施 錠 可 能 なキャビネット( 管 理 状 況 は 無 関 係 ) キャビネット 施 錠 不 能 なキャビネット 施 錠 机 施 錠 可 能 な 机 の 引 出 またはワゴン 机 施 錠 不 能 な 机 の 引 出 またはワゴン サーバ 中 核 サーバ サーバ 室 ラック 等 で 保 護 された データベースサーバ WEB サーバ メールサーバ 等 職 場 ラック 等 で 保 護 されたファイルサーバ サーバ サーバ 保 護 されていないサーバ デスクトップ パソコン ノートパソコン 13
施 錠 管 理 保 管 場 所 の 施 錠 管 理 の 状 態 を 選 択 します 施 錠 方 法 によりリスクが 想 定 できるものとします 情 報 媒 体 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 紙 と 常 時 施 錠 書 類 を 利 用 する 時 にだけ 開 錠 される 場 合 電 子 ファイ 退 社 時 施 錠 執 務 時 間 中 に 開 錠 される 場 合 ル 開 放 鍵 による 管 理 をしていない 場 合 (MO,CD,USB 等 ) 電 子 ファイ ル(HD) 常 時 施 錠 サーバ 室 で 管 理 されているサーバ デスクトップパソコン ノ ートパソコン ラック 等 で 保 護 された 職 場 サーバ デスクトッ プパソコン ノートパソコン 退 社 時 施 錠 チェーン 等 で 盗 難 対 策 しているノートパソコン ラック 等 はな いが 鍵 付 きサーバ 持 ち 運 びが 困 難 なデスクトップパソコン 開 放 ノートパソコン 持 ち 運 びが 容 易 なデスクトップパソコン 保 護 されていないサーバ 保 管 期 間 保 管 期 間 保 管 期 限 を 記 入 します 保 管 期 間 の 長 短 でリスクが 想 定 できるものとします 原 則 永 久 保 管 はせず 適 正 な 保 管 期 限 を 決 めてください 法 令 によるものはそれに 従 います 記 入 例 内 容 ( 選 択 の 基 準 と 例 ) 6ヶ 月 間 以 内 アンケート 等 イベント 的 に 取 得 した 個 人 情 報 等 1 年 間 定 めのないもので 1 年 間 を 目 途 に 見 直 すもの 等 3 年 間 労 働 関 係 に 関 する 重 要 な 書 類 等 5 年 間 7 年 間 資 産 等 の 取 引 決 算 書 取 引 関 連 の 書 類 等 退 職 後 ヶ 月 ( 年 ) 間 従 業 員 の 履 歴 書 等 契 約 更 新 時 ヶ 月 ( 年 ) 間 取 引 先 との 契 約 書 等 会 社 存 続 期 間 会 社 の 歴 史 に 関 する 書 類 等 ⅴ) 廃 棄 / 返 却 廃 棄 / 返 却 の 方 法 廃 棄 / 返 却 方 法 を 記 入 します 完 全 消 去 / 返 却 をしないとリスクが 残 ると 考 えられます 規 則 がない 場 合 は 消 去 / 返 却 方 法 の 規 則 を 決 めていく 必 要 があります 情 報 媒 体 選 択 肢 内 容 ( 選 択 の 基 準 と 例 ) 紙 の 場 合 社 内 シュレッダ 社 内 でシュレッダ 処 理 委 託 シュレッダ 委 託 によるシュレッダ 処 理 溶 解 処 分 委 託 による 溶 解 処 理 焼 却 処 分 委 託 による 焼 却 処 理 規 則 なし 廃 棄 / 返 却 の 方 法 が 決 められていない 場 合 廃 棄 しない 保 管 期 間 が 会 社 存 続 期 間 永 久 の 場 合 返 却 預 託 元 に 個 人 情 報 を 返 却 する 場 合 14
電 子 ファイ ルの 場 合 物 理 的 破 壊 セキュリティフォーマット クイックフォーマット 削 除 規 則 なし 廃 棄 しない 返 却 物 理 的 破 壊 委 託 による 物 理 的 破 壊 処 理 社 内 専 用 消 去 ソフトによる 消 去 委 託 による 専 用 消 去 ソフトによる 消 去 通 常 のディスク 等 の 初 期 化 処 理 削 除 (ゴミ 箱 ) 後 処 置 無 し データベースのレコード 削 除 処 理 廃 棄 / 返 却 の 方 法 が 決 められていない 場 合 保 管 期 間 が 会 社 存 続 期 間 永 久 の 場 合 預 託 元 に 個 人 情 報 を 返 却 する 場 合 ステップ2 個 人 情 報 管 理 台 帳 の 完 成 ( 個 人 情 報 の 特 定 完 了 ) 個 人 情 報 ワークシート により 洗 い 出 された 個 人 情 報 を 整 理 点 検 して それぞれの 種 類 の 個 人 情 報 について 今 後 の 適 切 な 管 理 のためのベースを 定 め 最 終 的 に 個 人 情 報 保 護 管 理 責 任 者 の 承 認 を 得 て 個 人 情 報 管 理 台 帳 として 登 録 することで 個 人 情 報 の 特 定 が 終 了 します ステップ3: 各 局 面 におけるリスクの 認 識 個 人 情 報 リスク 分 析 手 順 書 で 解 説 します 15
参 考 個 人 情 報 ワークシート の 管 理 番 号 の 付 番 方 法 について ここ 示 す 管 理 番 号 は 一 つの 例 として 部 門 単 位 に 識 別 番 号 を 割 当 て 識 別 番 号 毎 にシリアル 番 号 を 付 与 しております 実 際 に 管 理 番 号 を 付 番 する 場 合 は 社 内 で 管 理 し 易 い 方 法 を 採 用 し てください なお 個 人 情 報 ワークシート と 個 人 情 報 取 扱 いフロー 図 との 関 係 を 明 確 にする のが この 管 理 番 号 と 次 項 のリスク 分 析 対 策 表 No.ですので 必 ず 付 番 するようにしてく ださい 管 理 No.の 様 式 ( 二 桁 数 字 )( 三 桁 数 字 ) : 部 門 等 識 別 番 号 二 桁 の 数 字 によって 当 該 個 人 情 報 に 係 わる 主 管 部 門 または 業 務 分 野 の 識 別 を 行 う 例 01: 人 事 部 02: 管 理 部 03:システム 開 発 部 04:データ 処 理 部 05: 業 務 型 データ 処 理 部 09: 全 社 共 通 番 する : 個 人 情 報 シリアル 番 号 三 桁 の 数 字 を 付 して 個 人 情 報 の 種 別 を 連 続 して 付 個 人 情 報 ワークシート のリスク 分 析 対 策 表 NO.の 付 番 方 法 について リスク 分 析 対 策 表 No.の 様 式 F- ( 二 桁 数 字 )( 三 桁 数 字 ) F:フローNo. 識 別 子 二 桁 数 字 : 管 理 No.の 部 門 等 識 別 番 号 と 同 様 に 用 いる 三 桁 数 字 : 管 理 No.の 個 人 情 報 シリアル 番 号 と 同 様 に 用 いる 16
6. 新 規 取 得 時 の 管 理 手 順 個 人 情 報 を 新 規 で 取 得 する 場 合 新 規 個 人 情 報 取 得 申 請 書 により 事 前 に 個 人 情 報 保 護 管 理 責 任 者 の 承 認 を 得 なければなりません 承 認 後 の 個 人 情 報 は 個 人 情 報 管 理 台 帳 に 登 記 された 上 リスク 分 析 が 行 われます 新 規 個 人 情 報 取 得 申 請 書 の 起 票 提 出 個 人 情 報 保 護 管 理 責 任 者 の 承 認 個 人 情 報 管 理 台 帳 に 登 録 新 規 の 個 人 情 報 を 取 得 する 前 に 各 部 門 の 個 人 情 報 取 扱 担 当 者 は 新 規 個 人 情 報 取 得 申 請 書 の 必 要 事 項 を 漏 れなく 記 入 し 個 人 情 報 部 門 責 任 者 を 経 由 して 個 人 情 報 保 護 管 理 責 任 者 の 承 認 を 得 なければなりません 承 認 後 遅 滞 なく 個 人 情 報 保 護 管 理 責 任 者 は 個 人 情 報 管 理 台 帳 に 該 当 データを 記 入 し 新 規 個 人 情 報 取 得 申 請 書 を 保 管 します 17
7. 個 人 情 報 の 変 更 削 除 等 の 場 合 の 管 理 手 順 個 人 情 報 管 理 台 帳 の 変 更 削 除 や 利 用 目 的 の 変 更 をする 場 合 以 下 の 手 順 に 従 い 個 人 情 報 保 護 管 理 責 任 者 の 承 認 が 必 要 です 承 認 後 個 人 情 報 保 護 管 理 責 任 者 により 個 人 情 報 管 理 台 帳 に 変 更 削 除 が 反 映 されます 個 人 情 報 変 更 削 除 等 申 請 書 の 起 票 提 出 個 人 情 報 保 護 管 理 責 任 者 の 承 認 個 人 情 報 管 理 台 帳 の 内 容 変 更 削 除 個 人 情 報 管 理 台 帳 に 記 載 されている 個 人 情 報 の 取 扱 方 法 が 変 わったとき あるいは 不 要 になったとき 当 初 の 利 用 目 的 以 外 に 利 用 するときは 部 門 の 個 人 情 報 取 扱 担 当 者 は 事 由 が 生 じ 次 第 遅 滞 なく 個 人 情 報 取 扱 変 更 削 除 等 申 請 書 に 必 要 事 項 を 漏 れなく 記 入 し 個 人 情 報 部 門 責 任 者 を 経 由 し 個 人 情 報 保 護 管 理 責 任 者 の 承 認 を 得 なければなりません 申 請 の 承 認 後 個 人 情 報 保 護 管 理 責 任 者 は 個 人 情 報 管 理 台 帳 の 該 当 データを 修 正 と 更 新 日 の 記 入 を 行 い 個 人 情 報 変 更 削 除 等 申 請 書 を 保 管 します なお 削 除 の 際 の 留 意 点 としては データを 完 全 に 削 除 するのではなく 二 重 線 を 引 い て 削 除 日 を 記 録 していくことです 18
8. 個 人 情 報 管 理 台 帳 の 見 直 し 手 順 個 人 情 報 管 理 台 帳 は 原 則 として 毎 年 1 回 行 なうものとし 必 要 な 場 合 は 随 時 見 直 しを 行 い ます (1) 見 直 しの 手 順 個 人 情 報 管 理 台 帳 は 毎 年 1 回 月 に 個 人 情 報 保 護 部 門 管 理 者 が 見 直 しを 実 施 し 個 人 情 報 保 護 管 理 責 任 者 の 承 認 の 上 変 更 を 行 います (2) 見 直 しのポイント 見 直 しを 行 なう 際 は 件 数 を 最 新 の 状 態 にする 担 当 者 や 管 理 者 を 見 直 すなどの 他 以 下 の 点 にも 留 意 します 1リスク 分 析 結 果 の 反 映 個 人 情 報 に 対 する リスクの 認 識 や 対 策 の 妥 当 性 有 効 性 は 政 治 経 済 技 術 社 会 環 境 の 変 化 や 経 営 資 源 の 状 況 を 踏 まえて 定 期 的 に 見 直 します この 結 果 は 個 人 情 報 リスク 分 析 表 に 表 わします 個 人 情 報 管 理 台 帳 には 取 扱 い 方 法 を 記 入 する 欄 がありますが リスク 対 策 の 一 環 として 取 扱 い 方 法 ( 受 け 渡 しの 方 法 や 保 護 処 置 施 錠 管 理 等 )に 変 更 が 生 じる 際 は 改 訂 する 必 要 があります 2 管 理 状 況 の 確 認 個 人 情 報 管 理 台 帳 に 記 載 した 管 理 措 置 が 適 切 に 実 施 されているかについては 内 部 監 査 等 において 確 認 を 行 ないます この 結 果 は 台 帳 見 直 しのインプット 情 報 として 用 いま す 以 上 19