更新遅れてすみません。
なんとか、皆様の更新に間に合うように進めます。
今日は、Step3の「PMS策定の作業計画をたてる」と、Step4の「個人情報保護方針を組織内に周知する」、Step5の「個人情報を特定する」です。
簡単なので一気に行きます。
「PMS策定の作業計画をたてる」
そんなもん、いりません。
が、会社というのはそういうわけにはいかないので、ざっくりと。
・準備期間(1ヶ月)
・規程作成期間(2ヶ月)
・ルール調整期間(1ヶ月)
・従業者への教育(1ヶ月)
・運用期間(1ヶ月)
・監査期間(1ヶ月)
・申請準備期間(1ヶ月)
はじめてであれば、計8ヶ月。
これだけあれば、十分です。
必ず、上長や会社にスケジュールを提出する際に
(暫定スケジュール!)と記載してください。
都合により変動します。
ここで重要なのは、「スケジュールどおりに動くものではないという認識をまわりに与えること」
次に、「個人情報保護方針を組織内に周知する」
これは、先日作った個人情報保護方針をWebにUPして、社内に配布すればOK。
「個人情報を特定する」に、たどり着きました。
本日の内容では、これが一番重い。
さて、弊社でもいろいろと問題にぶつかりました。
最初に出てくる疑問は、多分・・・
「個人情報って何?」です。
担当している中でいろんな質問を受けました。
スリッパに名前を書いてあったら、個人情報?
大体、個人を識別できるもの=個人情報っていうのが曖昧だと思いませんか?
でも、質問したときに「曖昧なんで・・・」と聞いたら「曖昧じゃないです。はっきりしてます。個人を識別できるものが個人情報です。」と言われました。
じゃあ、郵便番号と性別だけなら、個人情報?
電話番号は個人情報?
ほら・・・微妙でしょう?
電話番号だけでは、性別も、年齢も顔もわからないわけでしょ?
郵便番号と、性別で・・・個人にたどり着くか。
これも、地域によっては絶対に無理だったり、特定できちゃったり。
聞かれたことがあります。
「島に、男性ひとりしか住んでなかったら、性別だけでも個人情報?」
・・・個人は特定できます。
で・・・個人情報を取扱う部署から出た条件がすごい。
「個人情報かどうか悩んだときは、質問から30分以内に答えて」
無理です。
私だって、休みもとります。お昼も食べます。
だから、決めました。
誰にでも判断できる個人情報の定義!
「氏名、住所、電話番号、携帯、メールアドレス、生年月日・・・」をひとつでも含むものは、個人情報!!!
かぎかっこ内は、各社様ご自由に決めてください。
これなら、誰が見ても個人情報がわかるでしょ?
これを決めたら次に出てくる質問は「AとBの組み合わせなら、個人を特定できないんじゃないんですか?」
言われたら、きちんと答えてください。
「そんなもん知るか!!!」
(°.°;
そうはいえないですよね、社内だもん。
だから
「ひとつひとつを判断するのは業務負荷を考えると運用しづらくなります。ルールとしてとらえてください。誰もが同じルールで運用することが重要なんです」
で、特定とは、個人情報はこれと決めることではなく、社内にどんな個人情報があるかを洗い出してもらうことにあります。
会社の偉い人あてに、堂々と「○日までに各部署で取扱っている(保有している)個人情報を洗い出してください」と、お願いしてください。
その際にエクセルで「個人情報管理台帳」というのを作って、これに書けと言いましょう。
大体社内は追加で質問をすると「一度に言って下さい」というやつがいます。
管理台帳といっても何を書いたらいいかわからないでしょう?
サンプルをあげたいけど、そういうわけにはいかないので、イメージしてください。
まず、タイトル・・・社員名簿、とかになるわけですね。
その、管理部署、中に書かれている個人情報の種類(氏名とか)、個人情報数(何人分ということですね)、保有媒体(紙なのか、データなのか)、保管場所(サーバー、○○フォルダ内、○○さんの机上など)、、、、。
この後、ルール策定をする際に必要になりますので、細かく出してもらいましょう。
ちなみに、ただ洗い出せと言っても、もれがあります。
でも、もれてても、いいんです。
また、改めて追加すればいいんですから。
とりあえず、最初は一掃するのが大変なんです。
思いつく限りの特定をしてください!!!。
個人情報って、思ったよりもいっぱいありますよ~。
机の中に、埋もれてたりしませんか????
0 件のコメント:
コメントを投稿