「個人情報取扱申請書」からは要求事項に準じた台帳が作成できないことから「取得、利用及び提供に関する原則に適合する確認において不十分」と指摘されたのではないでしょうか。
2022年8月9日にサポートブログに掲載された、「構築・運用指針に対応した新しい個人情報取扱申請書が必要なのでしょうか。」の以下の内容について思い当たる点があります。
『個人情報取扱申請書が取得、利用及び提供に関する原則に適合する確認において不十分だと指摘を受けました。もし、新構築・運用指針に対応した新しい個人情報取扱申請書がありましたら、情報をいただけないでしょうか。』
新構築・運用指針に対応したというより、JIS Q 15001:2017要求事項以降の内容ですが、J.3.1.1 個人情報の特定(A.3.3.1)において、リスクアセスメント及びリスク対策を行うために必要な情報として(個人情報管理)台帳に掲載すべき項目が明記されています。
その項目のうち、「PMS-B01-1.00-D02 個人情報取扱申請書」には、保管場所、保管方法、アクセス権を有する者、保管期限がありません。また、要求事項の「個人情報の項目」が「個人情報の内容」となっています。
(保管方法は安全管理措置で規定した内容に準じての記載が必要。例:施錠保管、アクセス権設定、等)
そのため、「PMS-B01-1.00-D02 個人情報取扱申請書」からは要求事項に準じた(個人情報管理)台帳が作成できないことから、「取得、利用及び提供に関する原則に適合する確認において不十分」と指摘されたのではないでしょうか。
当店のサンプル文書集における「個人情報取扱申請書」は、「個人情報取扱及び保護規程」の2.3〜2.8に対応した「取得や利用、提供の際に、社内で申請するための様式」となります。
「個人情報保護管理台帳」は、「PMSマニュアル」の4.3の(2)にて、J3.1.1(A.3.3.1)に対応した「取得後の個人情報を特定し管理するための様式」となります。
申請書にて社内申請し許可を得たのち取得。その後、取得した方法も踏まえ個人情報の管理上で必要となる情報を検討・特定し、台帳に登録し、管理するようにしています。また、利用や提供の際においては、台帳で管理している個人情報に対して、同様に申請し、利用及び提供するようになっています。
申請および管理の都度、承認を貰うような手続きを、自部門単位で行うような運用をサンプル文書集では行っております。
取得や利用、提供する際の要求事項に対応しているかを「申請書」で確認し承認。
取得後、特定された個人情報が、要求事項に対応した管理をされているかを「台帳」で確認し承認。
それぞれの段階で確認し、承認するといったように、分けた構成にしております。
二段階にはなりますが、自部門単位なので、申請及び承認者の間での理解はいただけるかと思います。
このように、当店のサンプル文書集では、「取得や利用、提供」と「特定と管理」に関する、それぞれの要求事項への対応を明確にするため、分けて記載しております。
ご質問にあるように、申請から管理までの流れで、保管場所や保管方法、アクセス権、保管期限などを、申請段階で確認するのも良い方法だと思います。
また、「個人情報の内容」に関しても、ご指摘のとおり「個人情報の項目」に修正した方が分かりやすいかと思います。
サンプル文書をご利用いただく上で、お客様のご活用しやすいよう、様式の項目など、追加や変更等ご自由にカスタマイズしてご活用いただければ幸いです。