個人情報台帳の役割
はじめに
「個人情報台帳」という言葉自体は、個人情報保護に関わる多くの担当者が耳にしたことがあるはずです。
一方で、事業部側の記入者・管理部門の担当者を問わず、その役割を理解したうえで適切に運用できていない、という声を実務上よく聞きます。
本記事は、個人情報保護担当者・プライバシー実務者を読者に想定し、個人情報台帳の役割を整理したうえで、作成・運用に活かすことを目的としています。
個人情報台帳とは
個人情報台帳の定義
個人情報台帳とは、一般に、事業者が保有する個人情報とその管理方法(取り扱い内容)をまとめた台帳と理解されています。
具体的には、事業者が取り扱う個人情報のライフサイクル(取得・保管・利用・提供・削除)を一元的に可視化・管理するための一覧表として作成されることが多いです。
なお「個人情報台帳」「個人情報管理台帳」「個人情報取扱台帳」といった呼称は、いずれも実務上の通称であり、法令上に定められた正式な様式名ではありません(後述)。
※Pマーク運用の現場では「個人情報管理台帳」と称されることが多いです。また個人情報保護委員会のFAQでも「いわゆる『個人情報取扱台帳』」という表現が用いられています。いずれも法令が定めた正式な様式名ではなく、通称である点に留意しましょう
プライバシーマーク(Pマーク)制度での位置付け
プライバシーマークの文脈で、個人情報台帳についてよく聞かれることがあります。
プライバシーマーク(Pマーク)の認証基準である JIS Q 15001:2023(個人情報保護マネジメントシステム―要求事項) では、「個人情報の特定」(自社が取り扱う個人情報の洗い出しと文書化)が求められています。これを実現する手段として、Pマーク運用の現場では「個人情報管理台帳」を整備し、定期的に更新するのが一般的です。
個人情報保護法上の位置付け
個人情報保護委員会ガイドライン(Q&A)によれば、「個人情報取扱台帳」を作成することが義務付けられているわけではないとしつつも、「個人データの取扱状況を確認できるように手段を整備すること」は求められており、自社で取り扱っている個人データにはどのようなものがあるかを明確にすることは、安全管理措置を講じる上で有効な取り組みであるとされています。
すなわち、法令上は名称や形式を問わないものの、実態として台帳に類する可視化基盤を整備していなければ、組織全体のデータの所在を把握できず、漏えい等が発生した際に被害の発見・是正が遅れ、影響が拡大しやすくなります。
その結果として、安全管理措置(法第23条。「個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定)の不備と評価され、リスクを抱えることとなります。
- 出典:個人情報保護委員会(PPC)FAQ
- URL:https://www.ppc.go.jp/all_faq_index/faq1-q10-10/
個人情報台帳の役割
個人情報台帳は、個人情報保護法ガイドラインでも述べられているように、安全管理措置の一環としての役割が強いです。
では、なぜ「個人データの取扱状況を確認できるように手段を整備すること」が安全管理措置の手段として評価されるのでしょうか。3つの視点で整理します。
① 自社が取り扱う個人情報を「把握」できる
台帳として一元化できていなければ、社内での個人情報の取扱状況を把握することは困難です。結果として、自社で(経緯や取り扱いの実態を)把握しないまま個人情報を保有していた、という事態にもなりかねません。
前述の通り、把握できていない場合には、漏えい等が発生した際に被害の発見・是正が遅れてしまうことになります。
② 法令対応・社内ルールの「チェック表」になる
台帳として管理するうえで必要な項目を事業部から回答してもらうことで、法令・社内ルールの遵守状況を確認できます。たとえば「第三者提供を行う業務」であれば、第三者提供(法第27条)に関する項目に同意取得状況などが記載されていることで、対応の有無を一覧で確認できます。
※注意:台帳の記載は「申告」にすぎない
「同意あり」と記載されていても、それは事業部の申告に基づく一次情報です。実際に有効な同意が適法な方法で取得され、その記録が残っているかは、台帳の記載だけでは担保されません。「台帳に書いてあるから安全」という理解は誤りで、必要に応じて同意取得方法や同意の記録に関する資料を別途検証することが重要です
③リスクを検知し、改善に繋げることができる
法令上求められる対応の一部が満たせていない可能性がある場合や、安全管理措置上の懸念がある場合に、台帳を起点として改善につなげられます。台帳は「作って終わり」ではなく、改善サイクルを回すための基盤として利用することができます。
自社でも、上記3つの視点で台帳が役割を果たせているか確認することで、より効果的な運用につながると考えられます。
まとめ
- 台帳は、事業者が取り扱う個人情報のライフサイクル(取得・利用・保管・提供・削除)を一元的に可視化・管理する一覧表です
- 法令上は台帳そのものを義務付けてはいないが、安全管理措置(法第23条)の一環として「個人データの取扱状況を確認できる手段の整備」が求められており、台帳はその有力な手段になります
- 台帳の役割は「①把握 ②チェック表 ③改善」の3つです。ただし、記載(申告)と実際の運用の適切さ(検証)は別物である点に注意が必要です
本記事は一般的な情報提供を目的としたものであり、特定の事案に対する法的助言ではありません。個別の判断は自社の取扱実態に応じて、社内法務・専門家・所管当局にご確認ください。
参考
- 個人情報保護委員会 FAQ(個人情報取扱台帳について):https://www.ppc.go.jp/all_faq_index/faq1-q10-10/
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(安全管理措置の項)
- JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項