個人情報の保存期間を定める手順

プライバシーマーク取得担当者になりました。
規程の雛型を入手し、カスタマイズを行いながら整備を行っているの
ですが、3.4.3.1正確性の確保でチョット行き詰っております。
個人情報の保存期間をどのように定めるのかの手順を盛り込まなくて
はと思っているのですが、「保存期間を定める手順」って・・・。
様々な種類の個人情報があるので、その保存期間を定める手順といっ
ても上手く表現できなく悩んでいます。
現在保有する個人情報の保存期間は、契約書上定められてる期間とか
法令によるものはその期間を設定しているのですが、それ以外のもの
は、各部署が「これぐらいあった方がいいよね」状態で、同じような
個人情報でも、その期間がマチマチです。
「保存期間を定める手順」ていうのは定められるものなのですか？
それとも違う意味なのでしょうか？

No.1 ベストアンサー 回答者： woody-club 回答日時： 2009/03/30 10:40

JIPDECのガイドラインの文書審査の項目にある、誤入力チェック・保存期間を定める手順・個人情報のバックアップのことですよね。

3.4.3.1は、利用目的の達成に必要な範囲内において・・・となっているので、保存期間は個人情報の利用目的の達成に必要な期間で良いと思います。
推測ですが、質問者さんは、全ての個人情報について何年保管などの一覧表を作成しようとしているのではないでしょうか。
事業の用に供する個人情報単位に詳細な保存期間を定めて、手順書レベルのものを作成できれば、運用する従業者にとってはありがたいことですが、その為にはどのような個人情報が存在するのか、その個人情報の利用目的の達成に必要な期間は何時までなのか、など全て把握しておかなければ作成することはできません。それは、プライバシーマーク取得担当者が全ての業務に精通していなければならず、現実的ではないと思います。
手順は5W1Hになっていれば良いので、いつ・どこで・誰が・何を・何に・どうする、を定めることで手順になるようです。
今回の場合、「毎年何月（または随時）、各部署が個人情報の利用目的の達成に必要な期間を個人情報管理台帳の保存期間欄に記載し、各部署長が個人情報保護管理者の承認を得る。契約書上定められてる期間、法令によるものはその期間とする。」などとするのはいかがでしょうか。
個人情報保護管理者は、全権限を持っているので、その管理者の承認を得るという手順です。

ちなみに参考URLの規程策定・審査対応解説書は、助かりますよ。
ご参考まで。

参考URL：http://www.kantan-pms.com/price4.html

この回答へのお礼

ありがとうございます。参考になりました。
「手順」についてチョット取り違えていたようです。
これで一つクリアしましたが、まだまだ先が・・。

お礼日時：2009/03/30 17:53