講ずべき安全管理措置の内容

A基本方針の策定(任意)

※基本方針の策定は任意ですが、作成したほうが望ましい。

手法の例示(ガイドラインより)

基本方針に定める項目としては、次に掲げるものが挙げられる。

  • 事業者の名称
  • 関係法令・ガイドライン等の遵守
  • 安全管理措置に関する事項
  • 質問及び苦情処理の窓口 等

B取扱規程の策定(義務)

手法の例示(ガイドラインより)

取扱規程等は、次に掲げる管理段階ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定めることが考えられる。具体的に定める事項については、C~Fに記述する安全管理措置を織り込むことが重要である。
 ① 取得する段階
 ② 利用を行う段階
 ③ 保存する段階
 ④ 提供を行う段階
 ⑤ 削除・廃棄を行う段階

中小規模事業者における対応方法 ※軽減措置

〇 特定個人情報等の取扱い等を明確化する。
○ 事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認  する。

※明確化の方法については、口頭で明確化する方法のほか、業務マニュアル、業務フロー図、チェックリスト等に特定個人情報等の取扱いを加えるなどの方法も考えられます。
(ガイドラインQ&Aより)
 

C組織的安全管理措置

a 組織体制の整備

  • 安全管理措置を講ずるための組織体制を整備する。
    • 事務における責任者の設置及び責任を明確化する
    • 事務取扱担当者の明確化及びその役割を明確化する 等

中小規模事業者における対応方法 ※軽減措置

○ 事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区分することが望ましい

b 取扱規程等に基づく運用

  • 取扱規程等に基づく運用状況を確認するため、システムログ又は利用実績を記録する。

中小規模事業者における対応方法 ※軽減措置

○ 特定個人情報等の取扱状況の分かる記録を保存する。

c 取扱状況を確認する手段の整備

  • 特定個人情報ファイルの取扱状況を確認するための手段を整備する。なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。

中小規模事業者における対応方法 ※軽減措置

○ 特定個人情報等の取扱状況の分かる記録を保存する。

d 情報漏えい等事案に対応する体制の整備

  • 情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するための体制を整備する。
  • 情報漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要です。

中小規模事業者における対応方法 ※軽減措置

〇 情報漏えい等の事案の発生等に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。

e 取扱状況の把握及び安全管理措置の見直し

  • 特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。

中小規模事業者における対応方法 ※軽減措置

責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。

 

D 人的安全管理措置

a 事務取扱担当者の監督

  • 事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

b 事務取扱担当者の教育

  • 事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。

中小規模事業者における対応方法 ※軽減措置

〇 中小規模事業者における対応方法の軽減措置はありませんので、務取扱担当者の監督と教育は必ず行います。

 

E 物理的安全管理措置

  • 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない。

特定個人情報等を取り扱う区域の管理

  • 特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講じる。
    • 管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ持ち込む機器等の制限等を行う。
    • 入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等を行う。
    • 取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及び座席配置を考える。

中小規模事業者における対応方法 ※軽減措置

〇 特定個人情報等を取り扱う区域の管理には、中小規模事業者における対応方法の軽減措置はありません。

b 機器及び電子媒体等の盗難等の防止

  • 管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講じる。
    • 電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。
    • 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する等

c 電子媒体等を持ち出す場合の漏えい等の防止

  • 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる。
  • 「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要がある。
    • 特定個人情報等が記録された電子媒体を安全に持ち出す場合は、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器を使用する。
    • 特定個人情報等が記載された書類等を持ち出す場合には、封緘、目隠しシールの貼付を行う等

中小規模事業者における対応方法

○ 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講じる。

d 個人番号の削除、機器及び電子媒体等の廃棄

  • 個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。
  • 個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。

中小規模事業者における対応方法

○ 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。

 

F 技術的安全管理措置

a アクセス制御

  • 情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行います。
    • 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定します。
    • 特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定します。

中小規模事業者における対応方法

○ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

b アクセス者の識別と認証

  • 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証します。
    • 識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられます。

中小規模事業者における対応方法

○ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

c 外部からの不正アクセス等の防止

  • 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用します。
    • 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置する。
    • 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
    • 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
    • ログ等の分析を定期的に行い、不正アクセス等を検知する。

中小規模事業者における対応方法 ※軽減措置

〇 中小規模事業者における対応方法の軽減措置はありませんので、必ず対応は必要です。

d 情報漏えい等の防止

  • 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。

中小規模事業者における対応方法 ※軽減措置

〇 中小規模事業者における対応方法の軽減措置はありませんので、必ず対応は必要です。