endoのコンサル日誌 - Pマーク（プライバシーマーク）, ISMS -

プライバシーマークの認定基準であるJIS Q 15001:2006の「3.3.1 個人情報の特定」では、
「事業者は，自らの事業の用に供するすべての個人情報を特定するための手順を確立し，かつ，維持しなければならない。」
としていて、具体的には個人情報の一覧表、いわゆる「個人情報管理台帳」（以下「台帳」）のようなものを整備することを要求しています。

この台帳の項目に何が必要かというのは「JIS Q 151：26をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」http://privacymark.jp/reference/pdf/guideline_V2.0_120907.pdf
のP. 36が参考になります。

その必須項目のひとつに「件数」があります。

同ページの注意書きには「※ 件数は概数でよい。台帳管理の主旨は、１件残らず漏れなく管理していることの証明ではなく、組織内での個人情報の取扱状況を把握することにある」とあります。

つまり、正確な件数を把握するのではなく、むしろどれだけの数の個人情報が社内にある、または流れているのかを把握して欲しいということです。

これはすなわち、件数が多いものは、少ないものよりも注意を払う必要があるだろうし、個人情報の件数規模を把握することはリスク対策にも影響するだろうという理由からでしょう。

そこで、最近の審査では、件数を単に「○○件」と表記するのではなく、「○○件/年」、「○○件/月」、「○○件/累計」などと表記することを求められることが多くなってきています。
（この場合も、大体の平均で結構です。）

通常1年以上保管するものについては「累計」表記でいいでしょう。

一方で、例えば1回500人位を対象とするキャンペーンを年に4回実施し、個人情報はキャンペーン終了から1ヵ月以内に消去するのであれば、「2000件/年」などの表記の方が正しく規模を把握できるでしょう。

あるいは、毎月10人程度の応募があって、その際の個人情報は2週間程度でで消去するのであれば、「10件/月」の方がわかりやすいかもしれません。

次回、個人情報管理台帳の見直しをするときは、この点も考慮するといいかもしれません。

どのような表記がベストか困ったら、ご契約されているコンサルタントに尋ねるか、弊社までご連絡ください。(^^)v

http://www.optima-solutions.jp/inquiry/index.html