個人情報持ち出し管理簿には、納品(一方通行)で返却がない場合も記載が必要ですか?
重要資産持ち出し簿には、今のところ個人情報の有無に関わらずノートパソコンやメモリースティックの持ち出しと返却を記載しております。
この他に、プログラムやデータを納品する際、CD-ROMを一方通行で持ち出す場合があります。
場合によっては、個人情報が含まれることもあります、これらについても持ち出し簿に記載しないといけないのでしょうか?
1)CD-ROMも個人情報を含む場合のみ必要
2)CD-ROMも全ての場合のみ必要
3)不要
1)or2)の場合、一方通行で返却日が無いので空欄で運用となると考えております。
納品に伴うCD-ROMの持ち出し管理は、実務と規程の整合性に悩むケースが多い部分ですね。
結論から申し上げますと、貴社の最新規程に照らし合わせると、正解は「1)個人情報を含む場合のみ、持ち出し管理が必要」となります。
ただし、運用面や審査対策の観点から、以下の3つのポイントに注意して対応することをお勧めいたします。
1. 管理の対象となる「判断基準」
貴社の規程では、「個人情報が保存されている媒体」を管理の対象としています。
- 個人情報を含む場合:
納品用CD-ROMであっても、「個人情報持ち出し管理台帳」への記録と、責任者の許可が必須です。 - 個人情報を含まない場合(プログラム等):
規程上は持ち出し管理の対象外ですが、社内の重要資産(機密情報)として別途管理されている場合は、そちらの規程に従ってください。
2. 「返却がない(一方通行)」場合の運用テクニック
ご質問の通り、納品の場合は「返却日」がありません。しかし、台帳の返却欄を単に「空欄」のままにしておくと、審査において「返却し忘れなのか、未完了のタスクなのか」が判別できず、不備として指摘されるリスクがあります。
【おすすめの運用方法】
返却日の欄を空欄にするのではなく、以下のような記述で「管理が完結していること」を明示してください。
- 返却日欄に「〇月〇日 納品(提供)」や「廃棄(顧客先)」と記入する。
- または、備考欄に「顧客への提供のため返却なし」と一筆添える。
これにより、第三者が見ても「この持ち出しは完了している」ことが一目で分かり、記述漏れを疑われる心配がなくなります。
3. 月1回の「所在確認」への対応
最新の規程(サンプル文書)では、例えとして「業務の責任者は原則月1回(月末)に所在の確認を行う」というステップが規定されています。
CD-ROMを納品(提供)した場合は、手元には残っていないはずですので、月末の確認時には「すでに提供済み(在庫なし)」として整合性が取れている必要があります。台帳に「納品済み」と書かれていれば、この所在確認もスムーズに進みます。
まとめ
「個人情報が含まれる媒体」を外に出すという行為は、たとえ納品であっても紛失や誤送付のリスクを伴います。
「記録を残すこと」は手間かもしれませんが、万が一、納品途中で紛失事故が起きた際に、「誰の許可を得て、いつ持ち出したか」が証明できることは、会社と担当者様自身を守ることにつながります。
お手元の「個人情報持ち出し管理台帳」に、ぜひ「納品」というステータスを活用して記録を残すようにしてください。
