今回は企業に求められる4つの安全管理措置の続きです。

以下、おさらいです。

 

 

◆企業に求められる4つの安全管理措置とは

個人情報保護法第20条では、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」とされています。

具体的には、個人情報保護委員会「個人情報保護法ガイドライン（通則編）」の「8（別添）講ずべき安全管理措置の内容」（以下「ガイドライン」）に、講じなければならない措置や当該措置を実践するための手法例が示されています。

 

①組織的安全管理措置

 

②人的安全管理措置（前回の記事で取り扱い済）

 

③物理的安全管理措置（前回の記事で取り扱い済）

 

④技術的安全管理措置

 

 

 

 

◆組織的安全管理措置として、次に掲げる措置を講じなければならないとされています。

 

• 組織体制の整備

 

• 個人データの取扱いに係る規律に従った運用

 

• 個人データの取扱状況を確認する手段の整備

 

• 漏えい等の事案に対応する体制の整備

 

• 取扱状況の把握及び安全管理措置の見直し

 

 

 

さらに

中小規模事業者における手法の例示を見ると、中小規模事業者は最低限、次の対応をすればよいと考えられます。

 

• 個人データを取り扱う従業者が複数いるならば、その責任者を決めておく

 

• ルール化した個人情報保護法の基本に従って個人データを取り扱っているか、責任者が確認する

 

• 情報漏えい等が発生したときの、従業者から責任者への連絡体制をあらかじめ決めておく

 

• 個人データの取り扱いについて、責任者が年に1回は点検し、必要に応じて見直す

 

 

 

 

 

◆技術的安全管理措置として、次に掲げる措置を講じなければならないとされています。

 

• 個人データを取り扱う区域の管理

 

• アクセス制御

 

• アクセス者の識別と認証

 

• 外部からの不正アクセス等の防止

 

• 情報システムの使用に伴う漏えい等の防止

 

 

さらに

中小規模事業者における手法の例示を見ると、中小規模事業者は最低限、次の対応をすればよいと考えられます。

 

• 個人データを取り扱うパソコンと、それを使える従業者を決めておく

 

• そのパソコンには、ID・パスワードの認証を設定しておく（ID・パスワードの共有はしない）

 

• OSは常に最新にしておく

 

• セキュリティ対策ソフトなどを導入する

 

• メールで個人データの含まれるファイルを送信するときは、そのファイルにパスワードを設定する

 

 

 

このように、個人情報を事業で取り扱う事業者（個人情報取扱事業者）は、個人情報保護方針（プライバシーポリシー）を策定し、法令やガイドラインに従って社内ルールを整備し、4つの側面（組織的、人的、物理的、技術的）から安全管理措置を講じることが求められます。

 

 

 

自社の個人情報の管理体制は万全と言える状態でしょうか？

 

どこから手をつければよいか分からない、今のままの管理体制で十分なのか知りたい

ご不明点がございましたらアイコン担当にご相談ください。