ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

社員が保持しているプライベートな個人情報も?

2008/08/31 (2012/07/25)

この記事は、内容が古い可能性がありますのでご注意ください。

保護対象となる個人情報に関して質問です。

社員が保持している個人情報のうち、プライベートな交友関係(例えば恋人や友人)の名刺や連絡先等は、会社で管理すべき個人情報ではないように思うのですが、社員がそれらの個人情報を流出した場合のことを考えると、やはり保護対象として数に入れておくべきなのでしょうか?

JISQ15001は以下の様に適用範囲で規定されており、プライベートな個人情報であるのであれば会社で管理する必要は無いかと思います。

その個人情報は事業の用に供しているものではないですよね。M
(仕事では使用していませんよね)

***** JISQ15001より抜粋 *****
1 適用範囲
この規格は,個人情報を事業の用に供している,あらゆる種類,規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項について規定する。
********************

会社が所有している携帯やPCにプライベートな個人情報が保管されており、それを会社として認められているのであれば、JISQ15001の”3.4.3.3 従業者の監督”に抵触するように思われます。

なお、保護対象として数に入れておくべきかどうかは、御社がプライベートな個人情報を会社が保有する個人情報であると考えられいるのか否かにより決定されることだと思います。
一般的には、プライベートな個人情報を保護対象として数に入れいる企業は殆どありません。

***** JISQ15001より抜粋 *****
3.4.3.3 従業者の監督
事業者は,その従業者に個人情報を取り扱わせるに当たっては,当該個人情報の安全管理が図られるよう,当該従業者に対し必要,かつ,適切な監督を行わなければならない。
********************