事業者は、特定個人情報ファイルの取扱状況を確認するための手段を整備する必要があります。なお、特定個人情報ファイルの取扱状況を確認するための記録等には、特定個人情報等は記載しないことに注意が必要です。
≪ ガイドラインの例示 ≫
取扱状況を確認するための記録
- 特定個人情報ファイルの種類、名称
- 責任者、取扱部署
- 利用目的
- 削除・廃棄状況
- アクセス権を有する者
確認する点
この記録等には特定個人情報等は記載しないこと!
どのファイルにどの番号を載せたと記録してしまうと、これ自体が特定個人情報ファイルとなってしまい、目的外利用となってしまうからです!
≪ 具体的な対応例 ≫
- 特定個人情報ファイルの取扱状況確認ルールを討議し、必要な取扱状況確認のための手段を整理する。
- 策定した取扱確認ルールに従い、特定個人情報ファイルを取り扱う各段階に対応した取扱状況確認手段を整備する。
- 特定個人情報管理台帳
- 特定個人情報取扱記録簿(利用記録簿、記録媒体の授受記録簿、廃棄記録簿等)
- 特定個人情報取扱マニュアル(特定個人情報ファイル取扱確認ルール)
