先日、個人情報が記録されたSDカード紛失のニュースがありました。

 

東京都府中市は2021年6月17日、市内の埋蔵文化財の発掘届のデータを格納していたSDカードを紛失し、2020年8月以降に提出された発掘届に記載されていた個人情報201件が所在不明に陥ったと明らかにしました。府中市によると、紛失が明らかになったのは2021年6月11日のこと。市のふるさと文化財課に所属する職員が埋蔵文化財の工事立ち合い調査に赴くため、SDカードをセットしたデジタルカメラを持ち外出したところ、業務の途中で紛失したとしています。

 

このSDカードは現在も発見に至らず公表されたということでしたが、そもそも紛失を防ぐことはできなかったのでしょうか。

今回は、企業に求められる4つの安全管理措置のうち、「人的安全管理措置」「物理的安全管理措置」のお話です。

 

 

 

◆企業に求められる4つの安全管理措置とは

個人情報保護法第20条では、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」とされています。

具体的には、個人情報保護委員会「個人情報保護法ガイドライン（通則編）」の「8（別添）講ずべき安全管理措置の内容」（以下「ガイドライン」）に、講じなければならない措置や当該措置を実践するための手法例が示されています。

 

①組織的安全管理措置

 

②人的安全管理措置

 

③物理的安全管理措置

 

④技術的安全管理措置

 

 

 

 

人的安全管理措置として、「従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない」とされています。

• 個人データの取り扱いに関する留意事項について、従業者に定期的な研修等を行う

 

• 個人データについての秘密保持に関する事項を就業規則等に盛り込む

 

 

また、

物理的安全管理措置として、次に掲げる措置を講じなければならないとされています。

• 個人データを取り扱う区域の管理

 

• 機器及び電子媒体等の盗難等の防止

 

• 電子媒体等を持ち運ぶ場合の漏えい等の防止

 

• 個人データの削除及び機器、電子媒体等の廃棄

 

 

さらに

中小規模事業者における手法の例示を見ると、中小規模事業者は最低限、次の対応をすればよいと考えられます。

• 個人データを取り扱う従業者以外の者が、のぞき見などをできないように工夫する

 

• 個人データが記録されたパソコンやUSBメモリ、個人データが記載された書類などは、施錠できるところに保管して、盗難されないようにする

 

• 個人データが記録されたパソコンやUSBメモリ、個人データが記載された書類などを持ち運ぶときは、パスワードを設定したり、封筒に入れた上で鞄に入れたりするなど、すぐに情報が漏えいしないように備える

 

• 個人データが記録されたパソコンやUSBメモリ、個人データが記載された書類などを廃棄するときは、廃棄したことを責任者が確認する

 

 

さて、冒頭に挙げたSDカード紛失の話に戻ります。赤文字の部分をご覧ください。

まさに個人データが記録されたデータの取り扱いについて書かれていますよね？

重要なのは”紛失しないようにしましょう”という管理者からの声かけだけではなく、紛失しない仕組みづくりや平時からの従業員教育、さらには紛失した際のリスク回避策などを徹底して行うことです。

 

昨今、インターネットのサイバー攻撃の話題も尽きませんが、
パソコンやUSBメモリ等の電子媒体の取り扱いの部分にもリスクが潜んでいることを忘れないようお願いします。