個人情報を適正に管理するために安全管理措置を講じる必要があります。

 JIS Q 15001:2017要求事項においても、「個人情報を必要かつ適切な措置を講じなければならない」と定義していますが、具体的な部分までは定められていません。

 内容としては、経済産業分野のガイドラインに定められた内容を基本に、その事業者の取扱う個人情報のリスクに応じたものを自社で検討し採用する方法となります。ガイドラインでは大きく、物理的なものと技術的なものに分けて考えられていますが、中小規模事業者を想定して必要な措置を検討してみます。

A.入退室管理

 事業所への人の出入を管理することで、人為的な個人情報の漏洩についての防止が行なえます。直接媒体で個人情報が持ち出される以外にも、PC画面を見て一部の情報が漏れるという事にも留意が必要となります。

ポイント

  • 入退室記録をつける。「入退室記録表」の作成
  • 規模がある程度大きい場合には、サーバー室などに別途の入退室を制限する設備を設置
  • 鍵管理台帳を作成する。
  • 事業所に関する鍵は一定の権限をもつ者とする。
  • 事業所フロア区画図を作成する。
  • 事業所内を一定の区切りを設定し、入室が自由な区画(応接室や受付)と、従業者同伴でないと入れない区画を設置する。
  • 来訪者記録を作成する。
  • 入室時間・退室時間・受付者名などの記録を行う。
  • 社員名札を作成する。
  • 一定規模以上で、人の出入が多い事業所の場合、社員と社外者とを用意に区別させるために作成する。内容に応じて、入室許可証を発行する方法もあります。

B.盗難等の防止

 個人情報の盗難などを防止するため、一定のルールを定め、教育・研修を行ない運用することで、より安全管理レベルが向上していきます。

 細かなところですが、ルールは人為的な取扱いに依存する部分もありますので、予め規定しておくべきものです。

ポイント

  • 離席時・退室時のクリアデスクを徹底。
  • 「入退室確認表」にこの確認事項チェック欄を設け日々最終退室者が確認を行う。
  • 使用PCは離席時5~10分でパスワード付きのスクリーンセーバーが起動する又はログオフが自動的に起動する設定とする。
  • 使用PCは、来訪者から容易に見ることができない配置とする。
  • 位置変更や仕切りの設置
  • 個人情報の記録媒体の施錠保管
  • 保管先の鍵は特定権限をもつ者のみ所有する「鍵管理台帳」記載事項
  • 社内PCがノートPCの場合持ち出しを制限できるワイヤーロックをつける。
  • 個人所有のPCや外部記録媒体(FD,MO,CD,USBメモリ)等の社内持込は原則禁止とし使用する場合には管理者の承認を要する取扱いとする。
  • または社内使用分については限定し記録をつける。
  • 郵便箱への施錠の実施
  • 個人情報の廃棄方法は紙媒体などはシュレッダー使用による物理的廃棄
  • 大量となる場合には専門業者による安全な廃棄の実施
  • データの消去の場合には、2名以上の確認又は専門業者による完全なる消去
  • ハードの廃棄の場合はハードディスクの物理的な破壊の実施(個人情報の消去・廃棄記録の様式を設定する)

C.機器・装置などの物理的な保護

 個人情報を取扱う機器や装置について、環境上の火災や停電などに対する対策は、その規模に応じて、本格的な火災対応装置も必要であったり、要所に消火器などの設備を設置し、万一のときの対処に備える程度と様々です。

 一概に不適というものではなく、事業者の規模に応じて最善策を講じればいいという事となります。

D.アクセス権管理

 個人情報へアクセスできる者は必要最低限にする体制を整備します。システムによって、各社員にID を既に付与している場合には、そのIDによって行える機能を制限することが通常できると考えられますので、不必要に個人データにアクセスできない設定とするべきです。

 顧客管理にシステムを導入していない場合などは、データといえば、エクセルなどのファイルなどや紙媒体の帳簿類も考えられます。

 アクセスとはデータ時以外にも、閲覧することもそうですので、それらアクセス権管理をどのように制限していくのかを自社にあった形で規定に反映させます。

ポイント

  • パスワードは、社内PC、各種個人情報データファイルに付与する旨を規定する。
  • パスワードは 英数混在で6桁以上とし、誕生日・電話番号など第三者から類推し易いものとしない旨を規定する。
  • パスワードは「パスワード付与申請書」等の様式を作成し対応する。
  • ログインパスワードは定期的(6ヶ月)に変更を行う。
  • パスワードのメモ書きの貼付などは禁止事項とする。
  • パスワードの変更時期は、定期、社員が退職したタイミングで行う旨を規定する。
  • 各個人情報へアクセスログを取得し、1ヶ月1回などの定期に確認を行う。
  • システム導入の場合その中の機能を使用するか、別途ソフトウェアを購入し運用する。
  • ウイルス対策ソフトを全PCに導入する。
  • 常時最新版が更新されるよう設定しておく。
  • 業務上必要となるソフトウェアの利用は禁止する。
  • インターネットの利用の制限
  • 不要なサイトの閲覧の禁止、ファイルをダウンロードする場合での事前ウイルスチェックの実施、ブラウザソフトの設定の変更の禁止などの実施。
  • ファイル交換ソフトウェア(WinnyやShareなど)のインストールを禁止

E.移送・通信手段の対策

 個人情報を移送したりメールやファックスを行う場合のルールを定めます。

 規定にはできる限り分かりやすくしておくと、規定を参考資料とし教育や研修を行うこともできます。

ポイント

  • 個人情報の受け渡し時には、手法、名称、件数、などを記録した個人情報授受記録を作成し管理を行う。
  • 郵送の場合には、書留又は特定記録を利用し行う旨を規定する。
  • 個人情報媒体を携行して外出する場合には、常時携行し、車内放置等を厳禁とする。
  • フォームから個人情報を取得する場合、フォームにSSLを施す。
  • メールでファイルを送信する場合パスワードを設定し送信する。
  • パスワードは別途電話により伝達するなどを規定する。
  • 複数のメールアドレスに同送信する場合、送信先アドレスが受信者間で閲覧できないようにBCC欄にメールアドレスを入力し、CC欄には入力しない取扱いとする。
  • ファックスにて個人情報を送信する場合には、到達確認を別途実施する。
  • 送受信レポートを確認し一定期間保管する。
< 前の管理策
次の管理策 >