|
<< FAQ一覧に戻る
Q1-6.名刺データを営業物件情報管理システム(SFA)を使って管理しております。
日報を記録することで営業物件をデータベース化し、先方面談者の名前を訪問の都度、入力しなくても良いように、業務の簡素化を図ってあるシステムです。
名刺は営業マンが各々名刺ホルダーに入れて管理しており、名刺をデータベース化しているわけではありません。このような使用方法であっても、SFAに入力されたパーソン情報(会社の住所、電話、役職名等)は個人情報として扱われるのでしょうか?
当社の場合、名刺データをカウントすれば、個人情報は5,000件を超えます。
当該パーソン情報は「個人情報」であり「個人データ」であり「保有個人データ」です。特にシステム中に入っていれば、何らかのツールあるいは適用プログラムを作ることによって検索加工が可能ですので、貴社のSFAシステムはデータベース化された名刺データと言えます。
また、例えば、対象、非対象を問わず暗号化されている「個人情報」も「個人データ」、「保有個人データ」です。
データベース化された名刺データを5,000件以上もっている貴社は、個人情報取扱事業者です。従って貴社はこのSFA内の個人データに関して、個人情報保護法の義務規定に沿った取り扱いをしなければなりません。
これは開示、修正、利用停止等の本人からの要求に応える義務も発生します。一定期間内に答えるためには、現状の環境とは逆に個人をキーにして検索可能な状態にしておかないと速やかな開示請求に応えることはできません。
既に各社では、このような本人の関与への対応を意識したシステム更改を実施し始めています。
基本的にJIS Q15001に沿った「個人情報保護法遵守体制の構築」をお勧めしますが、4月1日に向けてとりあえず形を作るということであれば、以下をご提案いたします。
(1)社内の全ての個人情報の特定
こちらのページをご覧下さい。
>> JIS Q15001体制構築図の「5.現状業務プロセス調査・個人情報インベントリー作成」
(2)現有個人データの利用目的の特定と本人への通知・公表
体制確立の前の緊急ワークとして、現有個人データに対する事前措置をとりましょう。これらの事前措置は、本人が知り得る状態におくことが必要です。
1)業務プロセス分析と個人情報の総棚卸し
2)個人情報の特定とプロパティ分析
3)利用目的、第三者提供等の本人同意の有無確認(以前の同意は有効)
4)本人同意を取り直すべき個人情報の同意の取り方(通知か、公表か)の検討と措置の実施
(3)個人情報取扱規程・運用マニュアル、様式集の作成
こちらのページをご覧下さい(この中には個人情報保護法の事業者の義務規定を始め全ての遵守条項を盛り込んでください)。
>> JIS Q15001体制構築図 の「12.規程類、細則(業務運用マニュアル)作成」「13.新様式書類(契約書、管理台帳、帳票等)制定」
(4)従業者教育、パートナー教育
こちらのページをご覧下さい。
>> JIS Q15001体制構築図 の「17.CP周知のための啓発、教育(パートナー含む)」
(5)運用
こちらのページをご覧下さい。
>> JIS Q15001体制構築図 の「18.運用」
但し上記はあくまでも、臨時の緊急避難的な対応です。きちんとした恒久的な体制確立のためには、やはりJIS Q15001に沿った体制確立をして下さい。
自力で体制確立をするとしても、貴社企業規模からみて、最初のロードマップ作りの部分と組織への実装の部分は外部のコンサルティングを受けられることをお勧めいたします。
<< FAQ一覧に戻る
|
