ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「個人情報管理台帳(記入例)」の全社と部門パターンの違いと、リスク分析対策計画表との関連について

03.31.2020

「個人情報管理台帳」の記入例ファイルに、「全社パターン」というシートと「部門パターン」というシートがあるのですが、これは、各部の「部門パターン」内容を最終的に「全社パターン」にまとめて、「全社パターン」が完成版になる、という考え方で良いのでしょうか?/p>

また、「リスク分析対策計画表」の内容は、「個人情報管理台帳」に記載した「業務名」や「情報名」と、辻褄があうようにするという考え方で良いでしょうか?

ご質問の「PMS-A02-D04 個人情報管理台帳」に関してですが、「PMS-A02 PMSマニュアル」の「4.3 個人情報保護マネジメントシステムの適用範囲の決定」の「(2) 個人情報の特定」に関連する様式となります。

「PMS-A02-D04 個人情報管理台帳」は、「PMS-B02 PMSリスクマネジメント規程」の「3 リスクアセスメント」の「3.1 リスクの特定」への繋がってきます。

サンプル文書では、以下のように特に全社でまとめる仕様とはなっていません。

①業務の担当者は、PMSの適用範囲における自部門において取扱う個人情報に関して、「個人情報管理台帳」に明確にする(PMSマニュアル)

②個人情報保護管理者は、PMSマニュアルの「4.3 個人情報保護マネジメントシステムの適用範囲の決定」により特定された全ての個人情報を、業務及び管理部門ごとに「リスク分析対策計画表」に洗い出す。(PMSリスクマネジメント規程)

記入例にある「部門パターン」と「全社パターン」の違いは、組織の規模による違いを想定した例となっております。

なお、「個人情報管理台帳」を全社パターンのように1つにする、または部門別のものを1つにまとめる等、自組織の都合にあわせてご利用しても良いかと思います。

よって、「リスク分析対策計画表」の内容に課しては、先の②に示した通り、ご質問の解釈となります。