個人情報を取得後、何らかの利用(保管)を行いますが、保有している個人情報が正確な状態で行うための手順を定めます。
A.誤入力防止
取得した個人情報をデータに入力したり、別途の媒体に転記し記録するような場合、人為的なミスによる個人情報の誤入力の発生が考えられます。
これらに対する対策手順を定めます。
ポイント
- 入力など加工が伴う場合には2名以上のチェックで誤入力防止を行う旨を規定する。
- 実施者(入力・加工)・確認者欄を設けたチェックリストを採用したり、運用として定め教育・研修時に周知させる。
B.保存期間の設定
各分類の個人情報を永続的に保管している場合、保管している限り何らかのリスクは付きまといます。膨大な情報を保有するような場合、不要な情報については一定期間経過後廃棄処分とするほうが、リスク回避にもつながります。
ポイント
- 各保管期間は、個人情報管理台帳に個別に定める旨を規定する。
- 従業者情報に関しては、労働者台帳や賃金台帳などの法令で保管期間が定められているものに注意する。(これらの期間を下回るのは不自然)
- 保管期間の設定者は個人情報管理者とし、管理台帳に記載することで特定する旨を規定する。
C.個人情報のバックアップ
個人情報データそのものを保管しているサーバーやPC自体に問題が発生し、データが読み取り不能となった場合、個人情報の滅失・損壊となります。
データは別媒体で保管するなど対策を講じておく必要があります。
ポイント
- バックアップの時期を定める。
- 個人データの流入量が多い場合には短いスパンで・・内容に変化が少ない場合には任意の時期を設定する。
- バックアップ媒体は、原本とは別の方法(場所)で保管する旨を規定する。
※以上は、ほぼ共通して対応するべき事項となります。
以後の安全管理措置は、物質的なもの(事務所の建物など)やシステムの導入の有無や規模・内容によりその手法は異なります。