氏名のみの「誓約書・同意書」は、Pマークの個人情報管理台帳に載せる必要がありますか?
「その書類が個人の情報を収集し、取り扱うことを目的として作成された」書類に当たるのかで、「誓約書・同意書」は、署名者本人に関わる情報(氏名以外の情報)は記述されておらず、管理対象外としてもよろしいのでしょうか?
結論から申し上げますと、たとえ氏名以外の情報(住所や連絡先など)が記載されていなくても、「誓約書・同意書」を管理対象外とすることは、現在のPマーク(JIS Q 15001)審査の観点からは非常にリスクが高く、お勧めできません。
「氏名だけなら特定性が低いのでは?」という現場のご意見も理解できますが、実務上および審査上、以下の3つの理由から管理対象に含める必要があります。
1. 「氏名」自体が立派な個人情報である
JIS Q 15001の定義において、個人情報とは「他の情報と容易に照合することができ、それにより特定の個人を識別できるもの」を含みます。
社内で保管される誓約書に記載された「氏名」は、従業員名簿や採用記録と照合することで、容易に特定の個人(貴社の社員や応募者など)を識別できるため、法およびJIS上の個人情報に該当します。
2. 「書類の性質」が契約書等とは根本的に異なる
会社間で締結される「売買契約書」などに記載された担当者名は、業務遂行に伴う「公の属性」として扱われることがありますが、誓約書や同意書は異なります。
- 個人の意思表示の記録:
同意書は「特定の個人が、特定の事項に対して合意した」という、その方の権利やプライバシーに直結する意思決定の記録です。 - センシティブな文脈:
例えば「健康診断受診の同意書」や「特定個人情報の取扱いに関する誓約書」などの場合、氏名しか書かれていなくても、その書類が存在すること自体が「その人がその手続きの対象である」という情報を裏付けることになります。
3. 最新の審査傾向:網羅性が厳格にチェックされる
近年のPマーク審査では、情報の「項目数」よりも、個人情報を取り扱う「プロセス(経路)」が網羅されているかが重視されます。
「誓約書を徴収しているのに、台帳に載っていない」という状態は、審査員から見ると「個人情報の取得プロセスが適切に特定できていない(管理漏れ)」という不適合(指摘事項)に繋がる可能性が極めて高いです。
実務的なアドバイス
もし管理の工数を懸念されているのであれば、台帳への記載を以下のように工夫してみてはいかがでしょうか。
- 書類ごとに1行にする:
「Aさんの同意書」「Bさんの同意書」と分けるのではなく、「入社時誓約書一式」という単位で1行にまとめ、対象人数や保管場所を管理する形にします。 - リスク分析の簡略化:
紙媒体で鍵付き書庫に保管されているのであれば、リスク評価はパターン化できるため、一度台帳に載せてしまえばその後の運用負担はそれほど大きくありません。
まとめ
「氏名のみだから」という理由で除外するのではなく、「個人との重要な合意形成の記録である」と捉え、適切に特定・管理することをお勧めいたします。
弊社のプライバシーマークサンプル文書集に含まれる「個人情報管理台帳」の見本では、こうした迷いやすい書類の分類例も網羅しております。ぜひ最新のJIPDEC指針に沿った運用にお役立てください。
