| |
|
| (1) |
組織的安全管理措置 |
@ |
組織体制の整備 |
| |
a |
個人情報保護管理責任者の設置 |
| |
|
個人情報の安全管理の責任者として、個人情報保護管理責任者を設置する。 |
| |
b |
個人情報保護管理責任者の業務 |
| |
|
個人情報保護管理責任者の業務は、以下のとおりとする。ただし、個人情報取扱事業者の規模や必要度に応じて、変更もしくは他の者に委託することができる。 |
| |
|
ア |
個人情報の安全管理に関する自社用マニュアル(内部規程)を策定し、従業員に周知徹底する。 |
| |
|
イ |
個人情報取扱手順書を作成して、その周知徹底(データベース情報ではパスワードの設定・管理等、マニュアル処理情報では個人情報の保管・破棄手順等)を図る。 |
| |
|
ウ |
社内規程(就業規則に個人情報の取扱に関する管理手続、秘密保持、漏えいに対する処置等)の策定及び周知徹底を図る。 |
| |
|
エ |
従業者との個人情報の安全管理及び秘密保持に関する誓約書を立案して、事業者の代表者に提案する。 |
| |
|
オ |
委託先・再委託先との物的人的情報安全対策・危機対応等、委託者の定めるルール遵守の契約書を立案して、事業者の代表者に提案する。 |
| |
|
カ |
個人情報の作業責任者を選定し、その権限の設定、管理をする。 |
| |
|
キ |
アクセス権を有する者を定める。 |
| |
|
ク |
端末機等による情報閲覧、新規入力、訂正削除等を行う取扱担当者を指名する。 |
| |
|
ケ |
個人情報の管理・保管場所を定める。 |
| |
|
コ |
個人情報の変更等の管理をする。 |
| |
|
サ |
個人情報の管理に関する教育・研修をする。 |
| |
|
シ |
事業者の代表者に個人情報の取扱に関する業務状況の報告をする。 |
| |
|
ス |
その他担当部署の個人情報の安全管理に関する事項 |
| |
C |
個人情報安全管理委員会等 |
| |
|
個人情報取扱事業者の規模等に応じて、個人情報安全管理委員会等を設置し、もしくは複数の個人情報保護管理責任者を設置して管理者の代表者を定める等工夫をし、適切な安全管理が図れるようにする。 |
| |
|
|
|
A |
規程等の整備と規程に従った運用 |
| |
取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄という個人データの取り扱いの流れに従い、そのそれぞれにつき規定することが望ましい。 |
| |
|
|
|
B |
安全管理措置の評価、見直し、改善 |
| |
監査責任者を定め、監査計画を立案し、計画に基づく監査を実施する。 |
| |
|
|
|
C |
事故又は違反への対処 |
| |
事実関係を調査し、再発防止対策等を講じる。又、必要に応じ、公表する。 |
| |
|
|
|
| (2) |
人的安全管理 |
| |
従業者に対して、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練を行う。 |
@ |
雇用契約時および委託契約時における非開示契約の締結 |
| |
非開示契約は、契約終了後も有効とする。
非開示契約は、すべての従業者が、個人データを取り扱う業種、個人データにアクセスする可能性がある業種に配置転換される可能性があることから、すべての従業者と締結するべきである。 |
| |
|
|
|
A |
従業者に対する教育・訓練の実施 |
| |
個人情報保護管理責任者は、従業者に対する教育・訓練を実施する。 |
| |
|
|
|
B |
個人情報管理手続の策定 |
| |
データベース情報の記録媒体等の複写や出力、マニュアル処理情報の管理、複写、保管場所からの持ち出し、個人情報の部署外への提供、配送、電送については、個人情報の漏えい等が生じることがないように、個人情報管理手続を定め、遵守させる。 |
| |
|
|
|
| (3) |
物的安全管理措置 |
| |
個人情報の安全管理の実効性を確保するために、以下の物理的安全管理措置を講じるものとする。 |
@ |
入退館(室)管理の実施 |
| |
|
|
|
A |
盗難等の防止 |
| |
a |
離席時の個人データを記した書類、媒体、携帯可能なコンピュータ等の机上等への放置の禁止 |
| |
b |
個人データを含む媒体の施錠保管 |
| |
c |
個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止 |
| |
|
|
|
B |
機器・装置等の物理的な保護 |
| |
個人データを取り扱う機器・装置等の盗難、破壊、破損や漏水、火災、停電等からの物理的な保護 |
| |
|
|
|
| (4) |
技術的安全管理措置 |
| |
個人データに対して、以下の技術的な安全管理措置を講じるものとする。 |
@ |
個人データへのアクセスにおける識別と認証 |
| |
IDとパスワードによる認証、生体認証等の実施 |
| |
|
|
|
A |
個人データへのアクセス制御 |
| |
個人データへのアクセス権限を付与する従業者の最小化、従業者に付与するアクセス権限の最小化、個人情報を格納した情報システムの利用時間の制限(休業日や業務外時間の利用制限)等 |
| |
|
|
|
B |
個人データへのアクセス権限の管理 |
| |
個人データにアクセスすることができる者を許可する権限が適切に行使されるように管理する等 |
| |
|
|
|
C |
個人データのアクセスの記録 |
| |
個人データへのアクセスや操作の成功と失敗の記録、採取した記録の漏えい・滅失・き損からの適切な保護等 |
| |
|
|
|
|
D |
個人データを取り扱う情報システムについての
不正ソフトウェア対策 |
| |
ウィルス対策ソフトウェアの導入、セキュリティ対策用修正ソフトウェアの適用等 |
| |
|
|
|
E |
個人データの移送・送信時の対策 |
| |
移送・送信する個人データの暗号化等 |
| |
|
|
|
F |
個人データを取り扱う情報システムの動作確認時の対策 |
| |
動作確認時のテストデータとして個人データを使用することの禁止、セキュリテイが損なわれないことの検証等 |
| |
|
|
|
G |
個人データを取り扱う情報システムの監視 |
| |
情報システムの定期的な監視、個人データへのアクセス状況の監視等 |
