個人情報管理台帳見直し。政府推奨サイト(e-Gov)より入力する場合
個人情報管理台帳見直しにおいて1点ご相談が御座います。
今迄、紙ベースで提供(郵送)しておりました個人情報ですが、現在は政府推奨サイト(e-Gov)より入力する形となりました。
その関係で、紙でもなく電子ファイルでもなく、台帳上の管理としては、どのようにするのが好ましいでしょうか。
その他、eTAX、eLTAXといったサイトにおいても同様な事象もあり、システム上での入力項目ではありますが、こちらで管理する対象ではなくなるのかと考えております。
結論から申し上げますと、「情報の入力手段」がオンラインに変わっても、その情報を扱う「業務」が存在する限り、引き続き貴社の管理対象となります。
台帳管理をどのように行うべきか、3つのポイントで整理します。
1. 管理対象から外れるわけではない理由
e-Govやe-Taxへの入力は、単に「窓口へ行く」行為が「サイトへの入力」に置き換わっただけです。
- 情報の保有:
入力する元データ(社員名簿や所得情報など)を貴社が保有している以上、その情報のライフサイクル(取得~利用~保管~廃棄)は貴社の管理下にあります。 - 管理の境界:
「政府のシステム内」にあるデータは政府の責任ですが、「入力画面に打ち込む前のデータ」や「入力作業を行うPC環境」のセキュリティは貴社の責任範囲です。
2. 台帳上の「保管形態」はどう記載すべきか?
実体としてのファイルや紙が存在しない「直接入力」の場合、台帳には以下のように記載するのが実務的かつ審査上も好ましい対応です。
- 保管形態:
「政府サイトへの直接入力(自社にデータ残存なし)」または「オンライン申請システム」と記載します。 - 媒体の区分:
「電子」に分類されますが、備考欄などに「e-Govサイト上」「e-Tax経由」と具体的な経路を明記することで、情報の流れが透明化されます。
3. リスク分析の視点(独自性のポイント)
ここが最も重要な点ですが、管理台帳を更新する際は、以下の「新たなリスク」を意識してリスク分析・対策を検討してください。
- 入力プロセスのリスク:
「紙を封筒に入れる」リスクは消えましたが、「入力画面を第三者に覗き見られる(ショルダーハッキング)」や「ログインアカウントの不正利用」という新たなリスクが発生しています。 - 一時的なデータの発生:
入力のために作成した一時的なメモや、ブラウザのキャッシュ、送信後に確認用でダウンロードしたPDF(控え)など、「意図せず発生した副次的な個人情報」の管理(即時破棄など)をルール化する必要があります。
まとめ:台帳見直しのヒント
今回のケースを台帳に反映する際は、以下のように整理してみてください。
| 項目 | 記載例 |
|---|---|
| 個人情報の項目 | 従業員の社会保険情報、納税情報 など |
| 保管形態・媒体 | 電子(e-Gov、e-Tax等への直接入力) |
| 保管場所 | 各行政機関のサーバー(自社内には「控え」のみ保管) |
| 備考(流れ) | 従業員から直接取得 → 専用端末より直接入力 → 入力完了後、元データは規定に従い廃棄 |
「システム上での入力項目だから管理対象外」と考えてしまうと、現地審査で「入力作業時のセキュリティ対策(アクセス制限や画面の覗き見防止など)」が欠落していると指摘される恐れがあります。
手段は変わっても、「その情報を扱う業務の責任は自社にある」という視点で台帳を更新されることをお勧めいたします。
