個人情報管理台帳には、現時点で運用していない書類も記載すべきですか?審査時の対応は?
「個人情報管理台帳」について質問があります。
インターネットや書籍などで、「個人情報管理台帳」のサンプルを調べていたところ、「来訪者記録簿」「入退室ログ記録」「共有サーバーアクセスログ」といった書類名があがっているものを見つけました。
これらは、今後は必要になってくるかと思われますが、現時点で弊社では資料としてありません。
現在作成中の「個人情報管理台帳」に、このような「今は無いけれど、今後は必要」と思われるものは、記載すべきでしょうか?
あるいは、「今後は、検討します」ということで、良いのでしょうか?
個人情報管理台帳の作成において、将来的な項目の扱いについて実務的な観点から回答申し上げます。
「今、その個人情報を収集・利用している実態があるか」が判断のすべてです。将来の予測で記載する必要はありません。
社内での判断基準として、以下の3つのステップで整理することをお勧めいたします。
1. 記載の要否を決める「実態」の確認
「来訪者記録」や「アクセスログ」などは、形式的に載せるものではなく、以下の状況に合わせて判断します。
- 業務がある場合:
すでに紙の受付票や、システムによるログ取得が行われているのであれば、それらは「個人情報」として台帳に登録する必要があります。 - 業務がない場合:
「そもそも来客がない」「サーバーを置いていない」という状況であれば、台帳に記載してはいけません。実態のない記載は、審査で「規定と運用の乖離」を指摘されるリスクになります。
2. 審査での適切な回答方法
もし審査で「なぜログ管理が台帳にないのか?」と問われた際は、「今後検討します」という曖昧な表現ではなく、「現状の特定結果に基づき、対象外としている」と明確に回答するのがベストです。
「今は検討中」という回答は、管理の遅れと捉えられる可能性があります。以下のように「現状の特定結果」として回答することを推奨します。
(回答例)
「現在はすべての個人データを外部のSaaS上で管理しており、社内サーバーに保存する運用がありません。したがって、サーバーアクセスログは特定対象外としています。今後、管理形態に変更があれば、その都度特定を行い台帳を更新します。」
3. 運用のアドバイス
台帳は「社内にある個人情報の最新の地図」です。まだ存在しないものを無理に載せるのではなく、業務フローが変わった際に「台帳もセットで更新する」という社内ルール(PMSの仕組み)が機能していることの方が、Pマーク運用においては高く評価されます。
このように、「今はやっていない」のではなく「今の業務スキーム(仕組み)上、発生していない」と説明することで、管理が適切に行われていることを証明できます。
例えば、「弊社ではサーバーに個人データを保存していないので、サーバのアクセスログは収集しておらず、台帳には登録していません。よって、将来的にサーバーに保存する場合があれば、アクセスログを収集し、台帳に登録します。」といった回答が良いかと思います。
4. まとめ
「個人情報管理台帳」は、あくまで「今、社内にある個人情報の地図」であるべきです。
「今は無いけれど必要」と感じる項目がある場合は、それは台帳への記載を検討する前に、「安全管理措置(ルール)」としての導入を検討すべきフェーズとなります。よって、新たに「入退室管理」などの運用を開始した時点で、その記録(個人情報)を台帳に追加するという流れを徹底してください。
サンプル文書集は、あらゆる業種に対応できるよう多めの項目を例示していますが、貴社の実態に合わないものは勇気を持って削ぎ落としていただくことをお勧めします。
