個人情報の社内管理ルール|アクセス権限・持ち出し・保存期間の決め方
この記事を、次の案件で使える形に。
読んだ確認観点を、次に使える“型”にして手元に残せます。
契約・広告表示・社内説明など、用途別に確認できます。
個人情報保護法への対応は、プライバシーポリシーや契約書を整えるだけでは完結しません。実際にカギを握るのは、取得した個人情報を、社内で日々どう管理しているかです。立派な規程があっても、運用が伴わなければ事故は防げません。
共有フォルダに誰でもアクセスできる、保存期間が決まっていない、退職者アカウントが残っている、紙書類を机上に放置している、外部ストレージに個人情報を保存している——こうした状態は、多くの会社で起きがちです。本記事では、アクセス権限・持ち出し・保存期間・削除・廃棄を中心に、個人情報の社内管理ルールの作り方を整理します。
第8話で安全管理措置(組織的・人的・物理的・技術的措置)を学びました。第9話は、その安全管理措置を実際の社内ルールに落とし込む段階です。安全管理措置の全体像を振り返りたい方は第8話:安全管理措置とは?もご覧ください。
読んだだけで終わると、次の案件でまたゼロから考えることになります。
社内説明の文面も、確認メモも、AIへの指示文も、毎回イチから。用途別に実務ツールを確認できます。
用途別に実務ツールを確認する→迷ったら、用途を選ぶだけの 1分診断 →
まず結論|「誰が・どこで・いつまで・どう守るか」を決める
先に結論をお伝えします。個人情報の社内管理ルールとは、個人情報を取得した後に、「誰が・どこで・どの範囲で・いつまで・どのように管理するか」を決めるものです。これを決めずに運用すると、アクセスが野放しになったり、不要なデータが溜まり続けたりします。
| 管理項目 | 決めること | よくあるリスク | 関係部署 | 関連する後続記事 |
|---|---|---|---|---|
| アクセス権限 | 誰がどこまで見られるか | 全社員が閲覧できる | 情シス・法務 | 本記事 第4章 |
| 共有フォルダ・クラウド | 保存場所・共有範囲 | リンク共有の放置 | 情シス・各部署 | 第14話 |
| 社外持ち出し | 持ち出し可否・手続 | USB紛失・私物端末 | 総務・情シス | 本記事 第6章 |
| 保存期間 | いつまで保管するか | 期限なしで放置 | 各部署・法務 | 本記事 第7章 |
| 削除・廃棄 | いつ・誰が消すか | 削除運用がない | 各部署・情シス | 本記事 第8章 |
| 退職者・異動者 | 権限削除・返却 | アカウント放置 | 人事・情シス | 本記事 第10章 |
| 台帳管理 | 何をどこで管理するか | 全体像が見えない | 法務・各部署 | 第15話 |
個人情報の社内管理ルールとは何か
個人情報の社内管理ルールは、安全管理措置を実務に落とし込むための規程・台帳・手順です。第8話で学んだ「組織的・人的・物理的・技術的措置」を、現場で実際に運用できる形にしたものと考えるとわかりやすいでしょう。
具体的には、次のような文書が関係します。
- 個人情報管理規程・情報セキュリティ規程
- 個人情報取扱台帳
- アクセス権限管理表
- 保存期間表
- 削除・廃棄記録
- 委託先管理台帳
「規程はあるが運用されていない」状態は、実務上リスクが高いといえます。規程と実際の運用が食い違っていると、いざというときに「ルールどおりに動いていなかった」ことが問題になりかねません。完璧な規程を一度に作るより、まず棚卸しし、運用できる形にして、回しながら改善するのが現実的です。
アクセス権限の決め方
個人情報へのアクセス権限は、「必要な人だけが、必要な範囲で、必要な期間だけ見られる」ように設計することが基本です。誰でも見られる状態は、それだけで漏えいリスクを高めます。「社内共有だから権限管理は不要」とはなりません。
| 権限項目 | 確認内容 | NG例 | 改善例 |
|---|---|---|---|
| 閲覧権限 | 誰が見られるか | 全社員が閲覧可 | 担当部署・担当者に限定 |
| 編集権限 | 誰が編集できるか | 閲覧者全員が編集可 | 編集は必要な担当者のみ |
| ダウンロード権限 | 持ち出せるか | 自由にダウンロード可 | 必要時のみ・記録を残す |
| 外部共有権限 | 外部に共有できるか | 誰でも外部共有可 | 外部共有は承認制 |
| 管理者権限 | 誰が管理者か | 管理者が多数・不明 | 管理者を限定し明確化 |
| 退職・異動時の削除 | 権限を外すか | 権限が残ったまま | 退職・異動時に即削除 |
| 定期的な権限棚卸し | 見直しているか | 付与しっぱなし | 定期的に棚卸し |
権限の範囲は、情報の性質によって変えるべきです。たとえば、採用情報、人事評価、健康情報のような機微な情報は、顧客リストや問い合わせ情報よりも閲覧範囲を狭く設定するのが一般的です。要配慮個人情報を含む情報は、特に慎重なアクセス制御が求められます。
共有フォルダ・クラウドストレージの管理
共有フォルダ、Google Drive、OneDrive、Box、Dropbox、社内ファイルサーバーなどに個人情報を保存する場面は多くあります。便利な一方で、「誰でも閲覧できる共有フォルダ」「放置されたリンク共有」「古いファイルの残存」といったリスクが生じやすい領域です。
| 確認項目 | 見るべき内容 | リスク | 対応例 |
|---|---|---|---|
| フォルダのアクセス範囲 | 誰がアクセスできるか | 全社共有での閲覧 | アクセス範囲を限定 |
| リンク共有 | 共有リンクの状態 | リンクの放置・拡散 | 期限・範囲を設定 |
| 外部共有 | 社外への共有有無 | 意図せぬ外部閲覧 | 外部共有を承認制に |
| 古いファイルの放置 | 不要データの残存 | 漏えい範囲の拡大 | 定期的な整理・削除 |
| ファイル名・保存場所 | 命名・配置のルール | 名前だけで個人が分かる | 命名・保管ルールの整備 |
| 保存先の把握 | どこに保存されるか | 国外保存・外部サービス利用の見落とし | 保存先、提供者の取扱い、委託・第三者提供・提供に当たらない整理、外国取扱いを確認 |
クラウドサービスを利用する場合、自社の運用ルールに加えて、サービス提供者が個人データを取り扱うか、委託・第三者提供・提供に当たらない整理のいずれに近いか、保存先や外国取扱いがどうなっているかを確認する必要があります。なお、提供者が個人データを取り扱わない整理となる場合でも、自社の安全管理措置は必要です。SaaS・クラウドの契約前チェックは第14話:SaaS・クラウドサービス利用時の個人情報チェックで詳しく扱います。
社外持ち出し・リモートワーク時のルール
個人情報の社外持ち出しは、事故が起きやすい場面です。PC、USB、紙資料、スマートフォン、私物端末、メール添付、クラウド同期など、持ち出しの経路は多岐にわたります。リモートワークが広がった今、便利さと安全性のバランスを取ったルール設計が重要です。
| 持ち出し対象 | リスク | 必要なルール | 主な関係部署 |
|---|---|---|---|
| ノートPC | 紛失・盗難 | 暗号化・施錠・遠隔ロック | 情シス |
| USB・外部媒体 | 紛失・コピー拡散 | 原則制限・承認制 | 情シス・総務 |
| 紙資料 | 置き忘れ・のぞき見 | 持ち出し可否・施錠保管 | 総務・各部署 |
| スマートフォン | 紛失・私的利用 | 端末管理・ロック設定 | 情シス |
| 私物端末(BYOD) | 管理が及ばない | 利用可否・条件の明確化 | 情シス・法務 |
| メール添付 | 誤送信 | 送信前確認・添付方法の制限・安全なファイル共有方法の利用 | 各部署 |
| クラウド同期 | 意図せぬ同期・共有 | 同期範囲の管理 | 情シス |
| 公共Wi-Fi利用 | 通信の盗聴 | VPN等の利用ルール | 情シス |
持ち出しルールでは、持ち出し可否、承認手続、暗号化、紛失時の連絡先、公共Wi-Fi・私物端末の利用条件、印刷物の管理などを定めておくと、現場が迷いません。
保存期間の決め方|法律で一律に決まっているわけではない
保存期間について、初心者が誤解しやすい重要なポイントがあります。個人情報保護法では、個人情報の保存期間や廃棄すべき時期が一律に定められているわけではありません。個人情報保護委員会のQ&Aでも、保存期間や廃棄時期について法律で規定はしていないと説明されています。
ただし、何でも好きなだけ保管してよいわけではありません。個人情報保護法では、利用する必要がなくなった個人データは、遅滞なく消去するよう努めなければならないとされています(法第22条。これは努力義務です)。不要なデータを漫然と保管し続けることは、漏えいリスクを高めるため避けるべきです。
なお、法第22条の消去の努力義務は、法律上は「個人データ」について定められています。本記事では読みやすさのために「個人情報の保存期間」と表現する箇所がありますが、義務の対象を考える場面では、個人情報・個人データ・保有個人データの区別(第2話)を確認してください。
保存期間は、次の要素を踏まえて、自社で設計します。
・利用目的(その目的にいつまで必要か)
・法令上の保存義務(他の法令で保存が求められる場合がある)
・契約上の義務(契約で保管期間が定められる場合がある)
・紛争対応・監査対応(後日の証跡として必要な期間)
・業務上の必要性/本人対応/漏えいリスク
| 情報の種類 | 主な利用目的 | 保存期間を決める視点 | 注意点 |
|---|---|---|---|
| 問い合わせ情報 | 回答・対応 | 対応完了後の必要性 | 漫然と長期保管しない |
| 顧客情報 | 取引・サポート | 取引継続・法令上の保存 | 取引終了後の扱いを決める |
| 契約関連情報 | 契約の履行・証跡 | 法令・紛争対応の必要性 | 関連法令の保存義務を確認 |
| 採用応募者情報 | 選考 | 選考終了後の必要性 | 不採用者情報の扱い(第11話) |
| 従業員情報 | 雇用管理 | 在職中・退職後の必要性 | 労務関連法令も確認(第12話) |
| 退職者情報 | 退職後の手続等 | 手続・法令上の必要性 | 不要分は消去を検討 |
| 名刺情報 | 連絡・取引 | 関係継続の必要性 | 使わない情報の整理 |
| セミナー参加者情報 | 運営・案内 | 運営完了後の必要性 | 案内の範囲を整理 |
| メール配信リスト | 配信 | 配信継続の必要性 | 解除者の扱いを決める |
具体的な保存年数は、会社の業務、関連法令、契約、社内規程に応じて個別に定める必要があります。本記事で「○年」と断定はできません。「利用目的に照らして必要な期間+法令上の保存義務」を起点に、自社で設計してください。
重要なのは、会社法・税務関係・労務関係などの他法令で一定期間の保存が義務づけられている書類は、その法定保存義務が個人情報保護法の消去の努力義務(法第22条)に優先するという点です。利用目的が終了したからといって、他法令の保存期間を満たさないうちに削除すると、別の法令違反になりかねません。サーバー容量削減などのために一斉削除を行う前に、他法令の保存義務の有無を必ず確認してください。
削除・廃棄ルールの作り方
保存期間を決めても、実際に削除・廃棄する運用がなければ意味がありません。「期限は決めたが誰も消していない」状態では、結局データが溜まり続けてしまいます。削除・廃棄の対象は、紙書類、電子ファイル、メール、バックアップ、クラウドストレージ、SaaS上のデータ、委託先保管データなど多岐にわたります。
| 確認項目 | 決めること | 記録すべき内容 | 注意点 |
|---|---|---|---|
| 削除担当 | 誰が削除するか | 担当者・実施者 | 責任者を明確に |
| 削除時期 | いつ削除するか | 削除日・対象 | 保存期間と連動させる |
| 削除方法 | どう削除・廃棄するか | 方法(裁断・消去等) | 復元できない方法で |
| 廃棄証明・記録 | 記録を残すか | 廃棄記録・証明書 | 後から説明できるように |
| 委託先への削除依頼 | 委託先データの扱い | 依頼・確認記録 | 委託先にも残っていないか |
| バックアップの扱い | 保持期間・復元時対応を決める | 対象・時期・復元時の再削除 | 一定期間残り得るため、保持期間・アクセス制限・復元時の取扱いを決める |
| 本人からの削除依頼 | 請求対応 | 対応・判断の記録 | 法第35条の要件(目的外利用・不正取得・重大な漏えい・本人の権利利益が害されるおそれ等)に該当する請求は、自社の保存期間内でも遅滞なく利用停止・消去等に応じる法的義務が生じ得る |
なお、保存期間に基づく社内の削除運用と、本人からの利用停止・消去等の請求(法第35条)への対応は、別の論点です。法第35条の要件に該当する請求があった場合は、自社が定めた保存期間の満了を待たずに、遅滞なく利用停止・消去等に応じる法的義務が生じ得ます。平時の削除運用とは別に、本人対応のフローを用意しておく必要があります。また、データを削除しても、過去に生じた事実(漏えいが起きた事実や、記録義務の対象など)まで消えるわけではありません。「削除すればすべての法的問題が消える」わけではない点にも注意してください。
個人情報取扱台帳・管理台帳の作り方
個人情報を社内で管理するには、どの部署が、どの情報を、何の目的で、どこに保存し、誰に渡しているかを一覧化することが有効です。これを整理したものが個人情報取扱台帳です。台帳があれば、新しい施策のときの確認も、点検も、見直しもスムーズになります。
| 台帳項目 | 記録する内容 | 主な管理部署 | 見直しタイミング |
|---|---|---|---|
| 情報の種類 | 顧客・従業員・応募者など | 法務・各部署 | 新規取得時 |
| 対象者 | 本人の属性 | 各部署 | 施策追加時 |
| 利用目的 | 何のために使うか | 法務・各部署 | 目的変更時 |
| 取得経路 | どこから取得したか | 各部署 | 経路変更時 |
| 保管場所 | 保存先・システム | 情シス | システム変更時 |
| 管理部署 | 管理責任の所在 | 全社 | 体制変更時 |
| アクセス権限 | 誰が見られるか | 情シス | 定期棚卸し |
| 委託先・外部提供先 | 誰に渡しているか | 法務 | 委託・提供変更時 |
| 保存期間 | いつまで保管するか | 各部署・法務 | 定期見直し |
| 削除方法 | どう削除するか | 情シス・各部署 | 運用変更時 |
| 安全管理措置 | どう守っているか | 情シス・法務 | 措置変更時 |
| 関連規程・契約 | 根拠となる文書 | 法務 | 規程改定時 |
台帳をもとにした総点検は、第15話:個人情報保護法対応チェックリストで扱います。台帳は大企業だけのものではなく、中小企業・スタートアップでも、簡易な一覧から始める価値があります。
退職者・異動者アカウントの管理
退職者や異動者のアカウント・権限が残っていると、不要なアクセスや情報漏えいのリスクが高まります。「使われていないアカウントだから放置でよい」とは言えません。退職・異動の手続に、個人情報アクセスの整理を組み込むことが重要です。
これは、人事・情シス・総務・法務が連携すべき場面です。退職・異動が発生したら、権限削除、貸与端末の返却、クラウドアカウントの停止、メール転送の扱い、共有フォルダ権限の見直しを行います。
| チェック項目 | 対応内容 | 主な担当部署 | 記録方法 |
|---|---|---|---|
| システム権限 | アクセス権限の削除 | 情シス | 削除完了ログ・取扱責任者の承認記録(上場企業では内部統制の監査証跡としても重要) |
| クラウドアカウント | アカウント停止・削除 | 情シス | 停止記録 |
| 貸与端末 | PC・スマホの返却 | 総務・情シス | 返却確認 |
| 外部媒体・書類 | USB・資料の返却 | 総務・各部署 | 返却確認 |
| メール | 転送・無効化の扱い | 情シス | 処理記録 |
| 共有フォルダ権限 | 権限の見直し | 情シス・各部署 | 見直し記録 |
| 誓約・守秘の確認 | 退職時の確認 | 人事・法務 | 誓約書 |
メール・チャット・生成AIでの社内共有ルール
個人情報は、ファイルサーバーだけでなく、メール、チャット、社内SNS、タスク管理ツール、生成AIへの入力など、さまざまな経路で流通します。「メールやチャットは一時的な連絡だから管理対象外」とはなりません。これらも個人情報が流れる経路として、ルールを定めておく必要があります。
| ツール | 主なリスク | 社内ルール | 関連記事 |
|---|---|---|---|
| メール | 誤送信・宛先ミス・転送 | 送信前確認・添付方法の制限・安全なファイル共有方法の利用 | 第10話 |
| チャット・社内SNS | 貼り付け・外部チャンネル共有 | 個人情報の貼り付けルール | 第8話 |
| タスク管理ツール | 個人情報の記載・共有範囲 | 記載範囲・権限の管理 | 第14話 |
| 生成AI | 入力情報の外部送信・学習利用 | 入力可否ルールの明確化 | AI法務ガイド |
生成AIへの入力は、「社内利用だから問題ない」とは言い切れません。入力先のサービスや設定によっては、外部への提供・委託の論点が生じ得ます。詳しくは法務でChatGPTはどこまで使える?、生成AI時代の委託・再委託チェックリストをご覧ください。
部署別に見た社内管理ルール
扱う個人情報の種類は部署ごとに異なるため、部署別に管理ポイントを整理すると実務に落とし込みやすくなります。
| 部署 | 主な個人情報 | 管理ポイント | 関連記事 |
|---|---|---|---|
| 法務 | 契約書・相談記録・紛争資料・本人対応記録 | 機密性の高い記録の限定管理 | 契約条項 |
| 総務 | 入退館記録・備品・社内名簿・来訪者記録 | 物理管理・記録の保管期間 | 第8話 |
| 人事 | 採用・従業員・評価・健康情報・退職者 | 要配慮情報のアクセス制限 | 第12話 |
| 情シス | アカウント・ログ・端末・SaaS | 権限管理・ログ・退職者処理 | 第14話 |
| 営業 | 顧客リスト・名刺・メール配信・商談記録 | 取得目的・共有範囲の整理 | 第13話 |
| 経理 | 請求先・振込情報・支払先情報 | 法令上の保存・アクセス制限 | 第2話 |
採用・従業員情報は第11話・第12話、営業まわりは第13話で詳しく扱います。
社内管理ルールを整備するステップ
社内管理ルールは、一度にすべてを完璧に作る必要はありません。次の順番で、できるところから整えていきましょう。
- 個人情報の棚卸し(何がどこにあるか洗い出す)
- 保管場所の確認(どこに保存されているか)
- アクセス権限の確認(誰が見られるか)
- 保存期間の仮設定(いつまで保管するか)
- 削除・廃棄ルールの設計(いつ・誰が消すか)
- 持ち出し・外部共有ルールの整備
- 退職・異動時の権限削除フロー整備
- 委託先・SaaSの確認
- 社内規程・台帳への反映
- 定期見直し
| ステップ | やること | 主な成果物 | 関係部署 |
|---|---|---|---|
| ① 棚卸し | 個人情報の洗い出し | 個人情報一覧 | 法務・各部署 |
| ② 保管場所の確認 | 保存先の把握 | 保管場所マップ | 情シス |
| ③ アクセス権限の確認 | 権限の整理 | アクセス権限管理表 | 情シス |
| ④ 保存期間の仮設定 | 期間の検討 | 保存期間表 | 各部署・法務 |
| ⑤ 削除・廃棄ルール | 削除運用の設計 | 削除・廃棄ルール | 情シス・各部署 |
| ⑥ 持ち出し・共有ルール | 持ち出し制限の整備 | 持ち出しルール | 総務・情シス |
| ⑦ 退職・異動フロー | 権限削除フロー整備 | 退職時チェックリスト | 人事・情シス |
| ⑧ 委託先・SaaS確認 | 外部保存の確認 | 委託先管理台帳 | 法務・情シス |
| ⑨ 規程・台帳反映 | 文書への落とし込み | 規程・取扱台帳 | 法務 |
| ⑩ 定期見直し | 継続的な点検 | 見直し記録 | 法務・各部署 |
よくある誤解と正しい理解
社内管理ルールをめぐる代表的な誤解を整理します。
| よくある誤解 | 正しい理解 | 実務上の注意 |
|---|---|---|
| 社内共有なら個人情報管理は不要 | 社内でもアクセス権限・範囲の管理が必要 | 必要な人だけに限定する |
| 共有フォルダに置いていれば管理できている | 保存しているだけでは管理とは言えない | 権限・保存期間・整理も必要 |
| 保存期間は法律で一律に決まっている | 一律の期間は定められていない | 利用目的・法令等を踏まえ自社で設計 |
| 保存しておけば役に立つので削除しない方がよい | 不要データの長期保管はリスクを高める | 不要分は消去するよう努める(法22条) |
| バックアップがあるから削除・廃棄ルールは不要 | バックアップにもデータが残り得る | バックアップ上の扱いも決める |
| 退職者アカウントは使われていなければ放置でよい | 放置アカウントは悪用リスクがある | 退職・異動時に削除する |
| 個人情報取扱台帳は大企業だけが作るもの | 中小企業でも簡易な台帳が有効 | 小さく始めて改善する |
| メールやチャットは一時的なので管理対象外 | 個人情報が流れる経路として管理対象 | 送信・貼り付けルールを定める |
| 生成AIに入力した情報は社内利用だから問題ない | 入力先・設定により外部提供等の論点がある | 入力可否ルールを定める |
個人情報の社内管理では、アクセス権限表・持ち出しルール・保存期間表・削除廃棄記録・個人情報取扱台帳・退職異動時チェックリストなどを文書化して整理する必要があります。「個人情報取扱台帳」「アクセス権限確認シート」「保存期間表」「削除・廃棄チェックリスト」「退職者アカウント削除フロー」といったたたき台づくりを効率化したい法務・総務・情シス担当者の方には、個人情報保護法対応AIプロンプト集が補助ツールとして役立ちます(最終的な内容の確認・判断は担当者ご自身で行ってください)。
個人情報保護法対応AIプロンプト集を見るそのほかのツールは 商品一覧/LegalOS法律相談 もご覧いただけます。
企業法務担当者が確認すべき質問
社内管理ルールの整備状況を確認するときに使える質問を整理します。現場を責めるためではなく、「まず何から整えるか」を一緒に見つけるための質問として使うとスムーズです。
| 質問 | 確認意図 | 問題になりやすい回答 | 次に見る論点 |
|---|---|---|---|
| どの個人情報を管理していますか | 対象の把握 | 「把握しきれていない」 | 棚卸し・台帳 |
| どこに保存していますか | 保存先の把握 | 「あちこちにある」 | 保管場所の整理 |
| 誰がアクセスできますか | アクセス範囲 | 「全社員」 | アクセス権限の限定 |
| 共有フォルダの権限は定期的に見直していますか | 権限の棚卸し | 「したことがない」 | 定期棚卸し |
| 社外持ち出しはありますか | 持ち出しの把握 | 「自由に持ち出せる」 | 持ち出しルール |
| 持ち出し時の承認ルールはありますか | 承認手続 | 「特にない」 | 承認・暗号化 |
| 保存期間は決まっていますか | 保管期間 | 「決めていない」 | 保存期間の設計 |
| 削除・廃棄の記録はありますか | 削除運用 | 「記録がない」 | 削除・廃棄ルール |
| 退職者・異動者の権限削除は誰が行いますか | 退職時処理 | 「決まっていない」 | 退職時フロー |
| 委託先・SaaS・クラウドにも同じデータが残っていますか | 外部保存・外部サービス利用の把握 | 「確認していない」 | 委託先管理・クラウド利用・契約終了時の返還削除(第14話) |
| 本人から開示・訂正・利用停止・消去等の請求や問い合わせが来た場合の窓口はありますか | 本人対応 | 「想定していない」 | 保有個人データに関する本人対応フロー |
このシリーズでの次の学び方
社内管理ルールを整えたら、次は事故が起きたときの備えと、場面別の管理に進みます。第10話では漏えい等が起きたときの初動対応を、第11話・第12話では採用情報・従業員情報の管理を、第13話では営業リスト・名刺情報・メール配信を、第14話ではSaaS・クラウド利用時のチェックを扱います。
| 話数 | タイトル | 主なテーマ | リンク |
|---|---|---|---|
| 第1話 | 個人情報保護法とは?企業法務担当者が最初に押さえる基本 | 全体像・最初に押さえる考え方 | 記事を読む |
| 第2話 | 個人情報・個人データ・保有個人データの違い | 混同しやすい用語の整理 | 記事を読む |
| 第3話 | 個人情報取扱事業者とは?中小企業・スタートアップも対象になるのか | 対象事業者性の入口 | 記事を読む |
| 第4話 | 利用目的の特定・通知・公表 | ポリシーの前に押さえる基本 | 記事を読む |
| 第5話 | 個人情報を取得するときの注意点 | フォーム・名刺・問い合わせ対応 | 記事を読む |
| 第6話 | 目的外利用とは何か | 別目的で使うリスク | 記事を読む |
| 第7話 | 第三者提供・委託・共同利用の違い | 外部提供で迷う基本 | 記事を読む |
| 第8話 | 安全管理措置とは? | 組織的・人的・物理的・技術的措置 | 記事を読む |
| 第9話 | 個人情報の社内管理ルール | アクセス権限・持ち出し・保存期間(本記事) | 本記事 |
| 第10話 | 漏えい等が起きたときの初動対応 | まず社内で何を確認するか | 記事を読む |
| 第11話 | 採用活動と個人情報 | 履歴書・職務経歴書・不採用者情報 | 記事を読む |
| 第12話 | 従業員情報の管理 | 人事評価・健康情報・退職者情報 | 記事を読む |
| 第13話 | 営業リスト・名刺情報・メール配信 | 営業まわりの個人情報保護法チェック | 記事を読む |
| 第14話 | SaaS・クラウドサービス利用時のチェック | 契約前に見るべき項目 | 記事を読む |
| 第15話 | 個人情報保護法対応チェックリスト | 企業法務担当者の保存版 | 記事を読む |
まとめ|アクセス・持ち出し・保存期間・削除・台帳を一体で設計する
個人情報の社内管理ルールは、アクセス権限・持ち出し・保存期間・削除廃棄・台帳管理を一体で設計することが大切です。どれか一つだけ整えても、ほかが抜けていれば事故につながります。保存期間は法律で一律に決まっているわけではなく、利用目的や法令上の保存義務、業務上の必要性を踏まえて自社で設計し、不要になった個人データは遅滞なく消去するよう努めます(法第22条)。
個人情報は「取得して終わり」ではありません。社内で誰が・どこで・いつまで・どのように扱うかを継続的に管理することが重要です。完璧な規程を一度に作るより、まず棚卸しし、ルール化し、運用できる形にして、回しながら改善するのが現実的です。
次回・第10話では、「漏えい等が起きたときの初動対応|まず社内で何を確認するか」を解説します。どれだけ管理しても事故はゼロにできません。起きたときに被害を広げないための初動を整理します。
- 個人情報保護委員会「個人情報保護法等」
https://www.ppc.go.jp/personalinfo/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「Q&A」
https://www.ppc.go.jp/personalinfo/faq/ - 個人情報保護委員会「取得した個人情報は、いつ廃棄しなければなりませんか。」
https://www.ppc.go.jp/all_faq_index/faq1-q5-2/ - 個人情報保護委員会「クラウドサービス契約のように外部の事業者を活用している場合、第三者提供又は委託に該当しますか。」
https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ - 個人情報保護委員会「クラウドサービスの利用が法第27条の『提供』に該当しない場合、クラウドサービスを利用する事業者は安全管理措置を講ずる必要がありますか。」
https://www.ppc.go.jp/all_faq_index/faq1-q7-54/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/law/415AC0000000057
※ 本記事は2026年6月時点の現行法・個人情報保護委員会の公的資料をもとに、企業法務実務の一般的な整理として解説したものです。保存期間や管理方法は、取り扱う個人データの内容・量・関連法令・社内規程等により異なるため、実務対応にあたっては最新の法令・ガイドラインをご確認のうえ、必要に応じて専門家にご相談ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
この記事の確認観点を、実務の型に変える。
読んだ内容を、確認メモ・文例・AI指示文に落とせます。
