個人情報の安全管理措置

組織的安全管理措置

(1)組織体制の整備

1. 個人データの取扱いに関する責任者の設置及び責任を明確にする。
2. 個人データを取り扱う従業者及びその役割を明確にする。
3. 上記の従業者が取り扱う個人データの範囲を明確にする。
4. 法や個人情報取扱事業者において整備されている個人データの取扱いに係る規律に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を設ける。
5. 個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制を設ける。
6. 個人データを複数の部署で取り扱う場合の各部署の役割分担及び責任を明確にする。

(2)個人データの取扱いに係る規律に従った運用

個人データの取扱いに係る規律に従った運用を確保するため、業務に応じた記録の方法を定め、個人データの取扱いの検証を可能にする。

1. 個人情報データベース等の利用・出力状況
2. 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
3. 個人情報データベース等の削除・廃棄の状況（委託した場合の消去・廃棄を証明する記録を含む。）
4. 個人情報データベース等を情報システムで取り扱う場合、担当者の情報システムの利用状況（ログイン実績、アクセスログ等）

(3)個人データの取扱状況を確認する手段の整備

あらかじめ定められたとおりに個人データが取り扱われていることを、責任者が確認する。

(4)漏えい等事案に対応する体制の整備

漏えい等事案の発生時に備え、インシデント対応フローを作成し、従業者から責任ある立場の者に対する報告連絡体制を整備する。

(5)取扱状況の把握及び安全管理措置の見直し

1. 個人データの取扱状況について、定期的に自ら行う点検および部署による点検を実施する。
2. 定期的に内部監査および外部による審査を実施する。

人的安全管理措置

従業者の教育

• 個人データの取扱いについて、従業員に定期的に研修を行う。
• 個人データの取扱いについて、従業員の入社時・在宅勤務開始時・退職時に誓約書の提出を求める。

物理的安全管理措置

(1)個人データを取り扱う区域の管理

1. 取扱う個人データの重要度で区域を分け、ICカードを用いた入退室管理を行う。
2. 特定個人情報の取扱いは取扱区域のみとする。

(2)機器及び電子媒体等の盗難等の防止

1. あらかじめ定めた場所に保管・設置する。
2. 特に重要な機器はワイヤーで固定する。
3. 鍵付きキャビネの鍵の管理は各部署で行い、開放時間は必要最少限とする。

(3)電子媒体等を持ち運ぶ場合の漏えい等の防止

1. 持ち運ぶ個人データは、漏えい等の防止策を行う。（個人データの暗号化やパスワード保護、暗号化機能があるまたはパスワードによる保護が可能な電子媒体に保管する等）
2. 個人データの持ち出しは、事前に申請を行う。

(4)個人データの削除及び機器、電子媒体等の廃棄

1. 個人データの削除・廃棄は、あらかじめ定めた保管期限に基づく。
2. 個人データを含む紙の廃棄は、シュレッダーなど個人データが漏えいしない手段を用いる。個人データを含む機器の廃棄は、責任者の承認後、物理的に破壊または専用のデータ削除ソフトウェアを使用する等データの復元ができない状態にする。
3. 個人データの削除・廃棄は、記録を残し責任者に報告する。

技術的安全管理措置

(1)アクセス制御

1. 個人情報データベース等を取り扱うことのできる情報システムを限定する。
2. 情報システムによってアクセスすることのできる個人情報データベース等を限定する。
3. ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業員を限定する。

(2)アクセス者の識別と認証

ユーザーID、パスワード、ICカードで従業者を識別・認証する。

(3)外部からの不正アクセス等の防止

1. 情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。
2. 情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入し、不正ソフトウェアの有無を確認する。
3. 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新の状態とする。
4. ログ等の定期的な分析により、不正アクセス等を検知する。
5. 重要な機器は、外部と隔離する。

(4)情報システムの使用に伴う漏えい等の防止

1. 情報システムは、継続的に見直し、安全性を確保する。
2. 個人データを含む通信の経路または内容を暗号化する。
3. 移送する個人データについて、パスワード等による保護を行う。