個人デスクでの個人情報の保管の場合の施錠について
各担当が持っている個人情報台帳にて管理すべき個人情報データの保管している場所が各担当のデスクの場合、保護方法としては施錠が条件になるのでしょうか?
(事務所全体は、エレベーターロック、警備等にてセキュリティされているのです。)
アクセス件制限範囲は、社員であっても個人情報取扱の関係部署で制限すべきでしょうか。
代理店として小売業を行っていますが、顧客からの製品の注文をメーカーへ発注する場合、発注先(メーカー)は、業務委託先になりますか。
(製品搬送の為、氏名、住所、電話番号等の個人情報を利用する事になります。)
個人情報管理台帳の消去・破棄の記録(履歴)は、必要ですか?必要な場合の個人情報とは、どのような個人情報ですか?
まず、各担当のデスクにて個人情報を保護している場合の施錠の必要性に関してですが、これは施錠が必要になります。
ちなみにPMSの審査においては、内部犯行の可能性も考慮して、施錠が条件として求められる事が多いです。
次に、アクセス件制限範囲に関してですが、社員であっても個人情報取扱の関係部署で制限する必要があります。
理由としては、前述と同様に内部犯行の可能性が理由となります。
発注先(メーカー)が業務委託先となるかに関してですが、これは業務委託先になります。
個人情報の取扱いの全部又は一部を委託する場合は、業務委託先になります。
個人情報管理台帳の消去・破棄の記録(履歴)に関してですが、これは必要です。
対象は、御社が保有している全ての個人情報になります。
個人情報が廃棄されたのか、あるいはまだ社内に保管されているのか、状況を常時正確に把握できるように、消去・破棄の記録を作成することが重要です。
