第3回 個人情報の棚卸し：企業がとるべき、個人情報保護対策（1/3 ページ）

企業が行うべき、具体的な個人情報保護対策を紹介するシリーズ。第3回では、社内にどのような個人情報が山積しているのかを把握する「個人情報の棚卸し」手法を解説する。

[佐藤隆，ITmedia]

　個人情報の保護を推進させるには、まず社内で利用されている現状を把握することからスタートする。どんな個人情報が社内に存在し、誰に利用され、誰が管理しているのかを把握する必要がある。企業の個人情報保護指針に基づいて判断する前に、もれなく社内の個人情報を調べなければならない。

　その調査方法にもいろいろある。企業が所有する機械や車両などの資産状況を定期的に棚卸しするように、個人情報に対しても棚卸しを行なう。ただ、個人情報は書類、記録媒体、データベース、電子ファイルなどさまざまな形で存在するので棚卸しにもコツが必要となる。そこで今回は、個人情報の棚卸しの方法について解説する。

個人情報の棚卸し手順

　企業の中にある個人情報は、文書（紙）、電子記録媒体、システムのディスク上などに存在する。そのほかにも、知らずに利用されている個人情報や社外で利用している個人情報もある。これらすべてを洗い出して、棚卸しするには、次の4つの方法がある。

1. 情報分類による発見
2. 部門別に実施する方法
3. 業務プロセスによる手法
4. 横断的なアプローチ（情報システム）

　社内に散在する個人情報を発掘するには、どれか１つの方法に限定するのではなく、2つ以上を組み合わせ、多角的に個人情報の存在を発見しなければならない。

図1■社内に散在する個人情報例

1.情報分類による発見方法

　重要な文書には、「秘密」「極秘」といったスタンプや「部内限」と朱色で書かれて管理されている情報がある。これらは、企業の情報分類によって定められた管理が行われており、一般に「社内文書取り扱い規定」「情報取り扱いガイドライン」の名称で知られている。このような情報分類、取り扱い規定によって、個人情報が重要な情報として列挙されている場合がある。

　重要な文書であれば、文書一覧が作成されている。そこには、該当文書名称にはじまり、作成・更新日、取り扱い責任者、保管者、保管場所、取り扱い対象者が明記されている。その中に個人情報が含まれていれば、該当個人情報名称を抜き出しておく。

　このやり方は、個人情報保護対策を早急に実施しなければならない時に用いられ、組織にとって重要な個人情報を特定し、適切な管理が実施されているかを確認できる。これなら1週間あれば、重要な個人情報に対する棚卸しが完了するので、企業がどれだけ個人情報に対して取り組んでいるのか、把握できるのである。

2.部門別に実施する方法