第3回 個人情報の棚卸し：企業がとるべき、個人情報保護対策（3/3 ページ）

[佐藤隆，ITmedia]

　以上4つの手法を駆使すれば、企業が保有している個人情報の9割は把握できる。残りの1割は、個人情報を調査している間にも、企業が業務を継続しているため発見できない箇所があるからだ。次のような個人情報は発見が難しいので注意したい。

追加された個人情報　調査後に新しく追加された個人情報としては、すでに業務で遂行されていたアンケート集計に関する個人情報、バックアップ媒体に保管されていた個人情報がある。

削除された個人情報　個人情報を調べていくと、名簿業者から購入した個人情報などが発見されることがある。このため、指摘される前に処分するケースが見られる。

外部業者に預けた個人情報　商品をまとめて発送する業務では、梱包から配送までを外部の業者に依頼することがある。送り先に関する個人情報は、業者に渡されることになり、責任者の把握、回収方法（もしくは破棄方法）などを含めた調査が必要となる。

　取引先から預かっている個人情報　自社が外部に委託する逆で、顧客や取引先から個人情報を一時的に預かることがある。調査した段階では個人情報が発見できなくても、業務の流れで預かるような場合は、その取り扱いについても十分考慮しなければならない。

表1●個人情報が存在する代表的な場所

電子 媒体 文書 記録 媒体 代表的な 個人情報 社内 担当者保有の情報 ○ ○ 取引先リストのコピー 部署内利用情報 ○ ○ 見込み顧客一覧 既存顧客名簿 特定部署固有情報 ○ ○ 従業員名簿派遣、 嘱託者名簿 支店、工場限定な情報 ○ ○ お得意さま一覧 修理依頼者名簿 共有可能な情報（データベース） ○ 契約者名簿 不明情報（管理者、利用者） ○ ○ 社外 取引先からの預かり情報 ○ ○ ○ 該当契約書、雛形 外部機関からの共有情報 ○ 窓口の設置、手順 外部委託 ○ プライバシー監査報告書

　個人情報の棚卸しを実施すれば、企業ルールに定められていないケース、企業ルールの矛盾など曖昧になっている問題点を明らかにすることができる。企業が保有する情報をすべて見直すには相当な労力と時間がかかるが、個人情報だけに注目すれば短期間で完了する。個人情報が流出することによって引き起こされる企業の損失は、従業員の危機意識を芽生えさせ、積極的な協力を得やすい。したがって、企業が最初にとるべき対策は、個人情報の棚卸しなのである。

　次回は、個人情報の棚卸しの手法をはじめ、技術面、マネジメント面で企業のよき相談相手となるコンサルタントの業務、個人情報の管理に求められるコンサルティングについて解説する。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。