第3回 個人情報の棚卸し：企業がとるべき、個人情報保護対策（2/3 ページ）

[佐藤隆，ITmedia]

　情報分類による発見方法では、企業にとって重要な視点からすでに分類されている情報から個人情報を発見する。しかし、支店、工場のように部門固有で所有・管理している個人情報も多い。例えば、製品の修理依頼者に関する個人情報は、該当する部門にとっては極めて重要な個人情報となる。このため、部門が所有している個人情報の調査も行う。この方法は、細かい個人情報を発見できる利点がある。通常の業務では利用されていないが、保有している個人情報も部門別に棚卸しを行うと発見できる。

　例えば、毎年ではない追跡調査に用いる個人情報は、部門別に調べていかないと発見できない。欠点としては、すべての部門に対して実施するので、大変時間がかかることだ。また、何度もすべての部門を訪問できないので、調査する前に、個人情報を記入する書式を作成しておく必要がある。

　気軽に調べだすと、後で膨大な個人情報の整理に苦労する。そこで調査項目として、名称、書式（電子／紙）、管理責任者、利用者制限、情報分類レベル（機密性／完全性／可用性）、保管方法（廃棄方法を含む）、保管場所を記入欄に設けておくとよい。最近では、複製物の取り扱い、電子メールによる取り扱いなど細かく定めている企業もある。

3.業務プロセスによる手法

　業務に不可欠な個人情報を重点的に列挙するには、業務のプロセス分析を行って、そこで利用される個人情報を見つけだしていく方法が有効だ。業務の流れを表現するにはフローチャートが知られているが、部門関連フローチャート、SDL図、IDEF0（アイデフゼロ）などを駆使するコンサルタントも多い。

　最初に業務プロセスを明らかにすれば、そこで取り扱われている個人情報の所在も明らかとなる。業務プロセスによる手法は、独特な表現方法を採用しているので多少の戸惑いもあるが、図で表現するので直感的に理解できる。この手法は業務改善に使われてきた経緯もあり、個人情報以外にも活用することができる。導入する際に注意しなければいけない点は2つある。

　1つ目は、支援ソフトが必要となることだ。フローチャート、SDL図、IDEF0などでプロセスを表現する時は、修正が加わることが多く、プレゼンテーションツールではなく、「Microsoft Office Visio」のような業務プロセスを表現できるソフトウエアを採用した方がいい。

　2つ目は、通常の業務プロセスの分析に主眼が置かれ、不定期に実施される業務プロセスを忘れやすい点だ。例えば、緊急事態やテスト訓練における業務プロセスは抜けることが多い。そのため緊急連絡に必要となる個人情報が抜け落ちやすい。この点を考慮すれば、業務プロセスによる個人情報の洗い出し、棚卸しは非常に効果がある。

4.横断的なアプローチ（情報システム、特定プロジェクト）

　企業には部門に横断して機能しているシステムが存在する。社内を張り巡らしているイントラネットに接続されている情報システムは、業務に応じてアクセス制限がかけられ、部門を超えたプロジェクトの情報が置かれている。また、危機管理委員会、顧客満足推進プロジェクト、品質向上委員会のように、部門を超えて活動が行われているケースも珍しくない。

　このような横断的なグループが所有し、管理している個人情報は、部門別、業務プロセスによる分析手法では発見されにくい。ただし、ファイルサーバ内に放置された所有者、管理者が不明の個人情報も洗い出しておかなければならない。時には、バックアップ媒体として、個人情報が厳重に保管されているケースもあるので、バックアップ媒体が保管されているキャビネット、メディア金庫にも足を運んで調査する必要がある。

　横断的なアプローチは、組織に存在する個人情報を網羅するために実施する。実際には、個人情報を列挙する立場の者が調査する権限すら持っていないことも多いので、該当する責任者（情報システム責任者、プロジェクト推進責任者など）に依頼することになる。個人情報の棚卸しは、時には作業代行をしてもらうこともあるので進捗管理が大切になる。部門別に実施する方法と同様に、事前に書式を定めておき、記入してもらうとよい。

個人情報の棚卸しでは発見が難しい箇所に注意