• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:Pマーク取得での受託個人情報の台帳管理)

Pマーク取得での受託個人情報の台帳管理

このQ&Aのポイント
  • 会社でプライバシーマークを取得するためには、受託個人情報の台帳管理が必要です。
  • ITシステムの開発やデータ入力業務を行っており、お客様から個人情報を預かる場合は、台帳管理が必要です。
  • 年間20回以上の異なるお客様から個人情報を受託する場合には、20個分を特定対象として台帳管理する必要があります。

質問者が選んだベストアンサー

  • ベストアンサー
  • consul01
  • ベストアンサー率100% (1/1)
回答No.2

結論としては、20個を特定する必要ありません。 異なるお客様(委託元)で、分ける必要はありません。 情報種類(紙、メディア、データ媒体等)が変わるのであれば、別に特定してください。 情報種類で分ける理由は、ライフサイクル(取得から廃棄までの流れ)が変わるからです。 紙とデータ媒体では、取得方法も保管場所も廃棄方法も変わるはずです。 ライフサイクルが変われば、別の個人情報の扱いとなります。(リスク分析が変わるので) ライフサイクルが同種の個人情報は、一つの個人情報として個人情報管理台帳に記載して管理して差支えありません。 その為、委託元より個人情報をもらう都度、特定する必要もありません。 一度特定した個人情報と同種の個人情報であれば、特定は不要です。 おそらく、通常の会社様であれば、「紙」、「USBメモリ・CD-R」、「データ媒体」の3種類特定すれば事足ります。 「紙」、「USBメモリ・CD-R」については、ライフサイクルが同一の会社様もあるかと思いますので、その場合は、 2種類特定すれば問題ありません。 また、本音を言えば、ライフサイクルが同一でも、取り扱う個人情報の内容(氏名、生年月日、住所等)が 大きく変わるのであれば、それも別に特定する必要があります。 ただ、正直、取り扱う個人情報の内容ごとで特定してしまうのはきりがないのでおすすめしません。 (例えば、名刺ひとつとっても個人情報の記載の内容が変わりますので、それで分けていてはきりがありません) 業務内容が同じであれば、取り扱う個人情報の内容を網羅してしまうことをおすすめします。 例えば、業務内容は同じだが、時には、氏名と生年月日だけもらう。時には、氏名、生年月日、住所をもらう。 時には、氏名、口座情報をもらうということであれば、 特定時に個人情報の内容を氏名、生年月日、住所、口座情報と網羅してしまえば、 一つの個人情報として特定できますので楽ですよ。 結論として、 まず業務内容毎で分ける さらにライフサイクルが同種かどうかで分けて 特定するのが一番効率的です。 その後も、リスク分析も業務フロー毎、ライフサイクル毎で分析するのでこのまとめ方が一番効率的ですね。 後、自社取得も良いですが、困った時にはコンサルも使ってくださいね。 私がコンサルティング会社所属なもんで最後に宣伝しておきます笑

その他の回答 (1)

noname#145046
noname#145046
回答No.1

もちろん、台帳管理は必要だと思います。 特に台帳管理していなければ本人から「開示請求」(個人情報保護法25条)や「訂正請求」(個人情報保護法26条)されたときには義務を果たすことはできないと思います。

関連するQ&A

専門家に質問してみよう