メールボックスや業務用ファイルの見落としに注意して、洗い出しを行います
個人情報の管理が適切に行われるためには、保護すべき対象の全てを特定しておく必要があります。この段階で漏れがあると、万全な個人情報保護の体制が構築されていても、ザルになってしまうからです。
そのためには、部門や担当者によって見落としが生じないように、取引先の担当者の一覧表や、バックアップ用媒体を挙げるなど、洗い出し基準を明確にして、手順書として整備しておくとよいでしょう。
個人情報を洗い出すには、部門ごとの日常業務をフロー図に書き出して、個人情報を業務のどの部分で取り扱っているのかをチェックして、どのような利用目的・経路で入手し、どのように処理し、どこに保存しているのかを明確にします。
洗い出した個人情報は、個人情報管理台帳に記入したり、データベース化して、管理をしやすいようにしましょう。なお、ISO27001(ISMS)に取り組んでいる組織では、ISMS構築の際に作成する情報資産管理台帳や情報資産管理データベースなどを活用するとよいでしょう。
洗い出し作業で見落としがちなものとして、業務で使用しているパソコン内のデータや作業用ファイルに保管してある書類などが挙げられます。電子メールの添付ファイルとしてメールボックスに残っていたり、データ処理の過程で作成した個人情報を含むファイルがディスク上に残っていることもあるので注意が必要です。