|
<< FAQ一覧に戻る
Q3-27.当社では「個人情報運用細則」という規則を設けて個人情報の取得・加工・利用・送信・発信等を行う場合、社内にて当該運用細則に基づき申請を当社個人情報管理者に提出する方法をとっております。
当該運用細則を運用する中で公表・通知している個人情報についてもこのように申請する必要があるのかと社内からの意見があり、対策として今後、取得予定の個人情報(今後、通知・公表を予定する個人情報)を申請対象とすることに致しました。社内手続管理手法として今後通知予定・今後公表予定の個人情報のみを申請書面にて管理することは適当といえるでしょうか?
「個人情報取り扱い申請書」を「事前に」提出し、個人情報保護管理者が承認する方法は、一般的によくとられている方法です。
法第24条1項に順って、既に通知・公表している個人データに関して「個人情報取り扱い申請書」を提出するかどうかは、貴社の個人情報保護マネジメントシステムの仕組みによります。申請データを入力したり、申請書そのものを綴じて個人情報台帳を作るのであれば、過去に遡って、特定した全ての個人情報に関して申請から実施すべきであり、逆に、過去分の台帳その他の登録を別の手段で実施済みであれば不要です。したがって、申請書の機能によって必然的に決まるのではないでしょうか?
申請書に記載すべき項目は安全管理のガイドラインで次のように決められており、このような項目で構成され、それを管理者がチェックし承認するわけですが、既存データに関して、このような項目の設定、チェック、承認をしていますか?もし未だであれば、やり直しておくべきです。
◇ ◇ ◇
ガイドライン>安全管理>組織的安全管理>
(3)個人データの取扱い状況の一覧できる手段の整備をする上で望まれる事項
・個人データについて、取得する項目、通知した利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限、その他個人データの適正な取扱いに必要な情報を記した個人データ取扱台帳の整備
・個人データ取扱台帳の内容の定期的な確認による最新状態の維持
◇ ◇ ◇
申請書のサンプルもご参照下さい。
個人情報申請書(台帳)
作成日 年 月 日
個人情報保護
責任者 承認 |
(控→保管)
年 月 日 |
印 |
| 個人情報名 |
|
個人情報番号 |
|
| 部門名 |
|
業務名 |
|
| 部門管理者 |
|
業務責任者 |
|
| 概算件数 |
|
| 利用目的 |
・
・
・
・
・
・
・
・ |
| 保有期間 |
年 月 日 〜 年 月 日 |
個人情報内容
(ランク別に整理)
1000件以上は
1ランクアップ |
4(公的な機微な情報) |
□ |
| 3(特定の機微な情報) |
□ |
| 2(私的秘密情報) |
□ |
| 1(私的情報) |
□ |
| 0(公開情報) |
□ |
| 収集・告知方法 |
□本人から直接収集 □間接収集(通知・公表)
□業務委託(公表) |
提供または委託
(外注) |
提供 |
□有り
相手先名: 契約 □有 □無 |
| □無し |
| 委託 |
□有り
相手先名: 契約 □有 □無 |
| □無し |
| 取扱担当者 |
|
|
| |
|
| |
|
| 保管形態 |
□書類 □電子媒体 □コンピュータ □その他 |
| 保管方法(場所) |
|
| 鍵管理者 |
(取扱担当者、責任者、管理者の何れかであること)
|
情報セキュリティベースに追加する
安全対策 |
組織的・人的
安全管理策 |
物理的
安全管理策 |
論理的
安全管理策 |
|
|
|
| 廃棄消去方法 |
□書類 |
□シュレッダー
□契約廃棄業者 |
| □電子媒体 |
□物理的破壊 □完全消去
□初期化のみ |
| □コンピュータ |
□物理的破壊 □完全消去
□初期化のみ |
| □その他 |
|
| 廃棄日 |
年 月 日 |
責任者 |
印 |
定期見直し
(申請時設定) |
年 月 日 |
担当者 |
印 |
| 年 月 日 |
担当者 |
印 |
| 年 月 日 |
担当者 |
印 |
| 年 月 日 |
担当者 |
印 |
| 年 月 日 |
担当者 |
印 |
| 申請日 |
年 月 日 |
業務責任者 |
印 |
| 部門管理者承認 |
□承認 □否認 |
部門責任者 |
印 |
<< FAQ一覧に戻る
|
