ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

書類に記載された作成者名や所属等も、個人情報として管理すべきか?

更新日:2026/02/10 (公開日:2009/09/19)
プライバシーマーク全般.  19,474 views
※本記事は、ISM Web store が作成・検証したものです。

個人情報の特定作業について質問です。

業務に関するいろいろな書類に作成者の名前・所属等が記載されています。

そういった書類も個人情報管理台帳で管理すべきなのでしょうか。
また、その場合、書類の種類ごとに全て台帳に書き出すべきでしょうか。

それとも「業務に関する書類」としてまとめてしまってよいのでしょうか。

結論から言いますと、「法律上の最低限の義務」か、「プライバシーマークの認定」かを考慮する必要があります。

「検索できない状態」の個人情報であれば、法律上では個人データには該当せず、安全管理措置の対象とはなりませんが、実務上のリスク管理としては、台帳に記載するか否か検討が必要になります。

1. 法律上の義務

個人情報保護法の「個人情報取扱事業者」とは、「個人関連情報データベース等を事業の用に供している者」とされています。

「個人情報データベース等」とは、個人情報を含む情報の集合物で、特定の個人情報を容易に検索できるように体系的に構成したもので、個人情報データベース等を構成する個人情報を「個人データ」と呼びます。

よって、書類に記載された作成者の名前・所属等は、「個人情報」ではあるものの、法的には「個人データ」には該当しない可能性が高いため、法が定める「個人データの安全管理措置」や「漏洩報告」の対象からは外れる場合があり、台帳管理の必要もありません。

そもそも、法律では個人情報自体の「管理台帳」を作成することを義務付けてはいません。

ただ、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「(別添)講ずべき安全管理措置の内容」内(「組織的安全管理措置」)では、「個人データ」の「取扱状況を確認する手段の整備」があるため、その手段として「管理台帳」という方法をとることも考えられます。

法第16条(定義)

  • 1 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
    • (1) 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
    • (2) 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
  • 3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

※「個人情報の保護に関する法律」より

2. プライバシーマークにおける義務

プライバシーマークにおいては、法律よりも広い範囲が対象となります。

JIS Q 15001:2023では、「個人データ」ではなく、事業の用に供している全ての「個人情報」を特定し、「個人情報管理台帳」を整備することが求められます。

よって、たとえ紙の納品書などであっても、そこに担当者名が記載されている以上、それは特定の個人を識別できる「個人情報」と判断し、台帳に記載する必要性が出てきます。

6.1 個人情報の特定

組織は,自らの事業の用に供している全ての個人情報を特定するための手順を確立し,それを文書化した情報とし,かつ,維持しなければならない。

組織は,個人情報管理台帳を整備するとともに,当該台帳の内容をあらかじめ定めた間隔で少なくとも年一回以上,更に必要に応じて適宜に確認し,最新の状態で維持されるようにしなければならない。

※「JIS Q 15001:2023」より

なお、JIS Q 15001:2023の「附属書B(参考)マネジメントシステムに関する補足」では、「全ての個人情報について、個人情報管理台帳の整備が必須ではなく、その個人情報の利用目的を特定し、その範囲内で柔軟な取扱うことが可能」とあるとも書かれています。

その書類が個人の情報を収集し、取り扱うことを目的として作成された書類では無いとした場合、リスクに応じて簡略化した管理が可能とも判断できます。

B.6.1 個人情報の特定

組織は,個人情報に該当するかどうかの判断を, 4.1a)に基づいて行うことが求められる。

組織は, 事業において利用する全ての個人情報について,個人情報管理台帳の整備が必須であるというわけではなく,また,個人情報の取扱いについては,その個人情報の利用目的を特定した上で,その利用目的の範囲内で,個人情報保護リスクに応じて個々の従業者に委ねるなど,柔軟な取扱いが可能である。

※「JIS Q 15001:2023」より

3. 台帳に載せるべきか?

実務的な観点からは、以下の理由で台帳管理(特定)をおすすめします。

  1. リスク管理
    契約書や仕様書は機密性が高く、紛失した際の影響が大きいため、保管場所や廃棄ルールを明確にした方が良い。
  2. 運用の効率化
    「業務に関する書類」という項目で一括登録しておけば、個別の書類名を全て書き出す手間を省ける。

なお、厳密な「個人名」単位で一件ずつ登録する必要はありませんが、 「氏名・所属等が含まれる」「保管場所はキャビネット」「保存期間は7年」といった形で台帳にまとめて記載しておくのが、管理コストと安全性のバランスが良いかと思います。

まとめて記述する場合は「業務に関する書類」でまとめても結構ですが、その書類の詳細(見積書、契約書、仕様書、計画書、納品書など)が分かる様にして下さい。

4. 現状での判断

個人情報ではないから管理しないとするのではなく、例えば、以下のように管理するのが良いでしょう。

  • 個別に特定が必要な書類の例
    • 社内:健康診断書、アンケート、社員証、勤怠表、履歴書、教育の受講記録など
    • 社外:名刺、アンケート用紙、住所録、アドレス帳、名刺、顧客名簿など
  • 一括で特定して良い書類の例
    • 社内:稟議書、議事録、見積書など
    • 社外:契約書、議事録、設計書、仕様書、見積書など

以上、ご参考ください。

ISM Web store

執筆・監修:ISM Web store サポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。

プライバシーマーク取得支援パッケージ

Pマーク認定を支援する『プライバシーマーク取得支援パッケージ』

「プライバシーマークサンプル文書集」および「プライバシーマーク社員教育用テキスト」に加え、プライバシーマークの取得手順書及び文書構築方法や取得活用方法を解説したテキスト「プライバシーマーク取得支援ガイド」がセットとして収録。「無料サポート」にて質問も可能。

PRISM Web store

詳しくはこちら


プライバシーマーク サンプル文書集
健保組合や厚生年金基金などへの提供先については、J.8.5 d)で定められている事項について記載する必要はないのでしょうか?
2024/10/22 Pマークサンプル文書集 249 views
間接取得の個人情報は、「管理すべき」個人情報か?
2007/09/21 プライバシーマーク全般 7,017 views
ISMSサンプル文書集
グループ別リスク分析・評価のリスクの算出方法について教えてください。
2017/12/19 ISMSサンプル文書集 5,446 views
外部顧問契約者に「情報セキュリティ推進責任者」をアサインできるか?
2020/02/04 ISMS全般 1,437 views

Store

プライバシーマーク取得支援パッケージ

プライバシーマーク認定の支援パッケージ。

詳しくはこちら

プライバシーマーク サンプル文書集

プライバシーマークのサンプル文書集。

詳しくはこちら

プライバシーマーク社員教育用テキスト

プライバシーマークの社員教育用テキスト。

詳しくはこちら

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら