民間の団体が、個人情報保護法を順守する体制を構築するためには、A. 社内の個人情報の洗い出し、B. 個人情報保護法を順守するための社内ルールの策定、C. ルールに従った運用、D. ルールの改善と見直しのサイクルを繰り返すことが重要である。企業の現場で具体的に何をすればよいのか、詳しく説明していこう。

A. 社内の個人情報の洗い出し

まず、部署ごとに自分の部署が取り扱っている個人情報を洗い出す。これにより、社内のどこでどのような個人情報を取り扱っているのかが把握できる。これが対応の第一歩となる。洗い出した個人情報は、「個人情報取り扱い台帳」として一覧表にしておくと管理しやすいだろう。

ここで気をつけたいのは、個人情報保護法は「特定の個人を識別することができる情報」を個人情報であるとしている点である。つまり、氏名・生年月日がわからなくても特定の個人が識別できれば個人情報となるのだ。

たとえば、防犯カメラの映像は、映っている人物の氏名はわからないが、特定の個人が識別できるので個人情報に当たる。