5.講ずべき安全管理措置の内容
安全管理措置(法第23条)を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱い状況(取扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしも委員会ガイドライン及びこの指針に掲げる例示の内容の全てを講じなければならないわけではなく、また、適切な手法はこれらの例示の内容に限られない。
(1)この指針においては、中小規模事業者(※1)が具体的に講じなければならない措置や当該措置を実践するための手法の例等を示すこととする。
(2)中小規模事業者については、取扱う個人データの数量及び個人データを取扱う従業者数が一定程度にとどまること等を踏まえ、円滑にその義務を履行し得るような手法の例を示すが、その他の個人情報取扱事業者と同様に、法第23条に定める安全管理措置を講じなければならない。
(3)中小規模事業者が、その他の個人情報取扱事業者と同様に委員会ガイドラインに記述してある手法も採用することは、より望ましい対応である。
(4)その他の個人情報取扱事業者の手法の例示については、委員会ガイドライン「10(別添)講ずべき安全管理措置の内容」を参照。
| (※1)「中小規模事業者」とは、従業員(※2)の数が100人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。 1)その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者 2)委託を受けて個人データを取扱う者 (※2)中小企業基本法における従業員をいい、労働基準法第20条の適用を受ける労働者に相当する者をいう。ただし、同法第21条の規定により同法第20条の適用が除外されている者は除く。 |
5-1 基本方針の策定
事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン・指針等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。
5-2 個人データの取扱いに係る規律の整備
事業者は、その取扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない。
5-3 組織的安全管理措置
事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。
1)組織体制の整備
・ 安全管理措置を講ずるための組織体制を整備しなければならない。
2)個人データの取扱いに係る規律に従った運用
・ あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取扱わなければならない。
・ なお、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、利用状況等を記録することも重要である。
3)個人データの取扱い状況を確認する手段の整備
・ 個人データの取扱い状況を確認するための手段を整備しなければならない。
4)漏えい等事案に対応する体制の整備
・ 漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。
・ なお、漏えい等事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。
・ 事業者において、漏えい等事案が発生した場合等の対応の詳細については、「3-5個人データの漏えい等の報告等」を参照。
5)取扱い状況の把握及び安全管理措置の見直し
・ 個人データの取扱い状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。
5-4 人的安全管理措置
事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。また、事業者は、従業者に個人データを取扱わせるにあたっては、法第24条に基づき従業者に対する監督をしなければならない(3-4-3従業者の監督 参照)。
1)従業者の教育
・ 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。
5-5 物理的安全管理措置
事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。
1)個人データを取扱う区域の管理
・ 個人情報データベース等を取扱うサーバやメインコンピューター等の重要な情報システムを管理する区域(以下、「管理区域」という。)及びその他の個人データを取扱う事務を実施する区域(以下、「取扱区域」という。)について、それぞれ適切な管理を行わなければならない。
2)機器及び電子媒体等の盗難等の防止
・ 個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
3)電子媒体等を持ち運ぶ場合の漏えい等の防止
・個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じなければならない。
・ なお、「持ち運ぶ」とは、個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要がある。
4)個人データの削除及び機器、電子媒体等の廃棄
・ 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない。
・ また、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。
5-6 技術的安全管理措置
事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。
1)アクセス制御
・ 担当者及び取扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。
2)アクセス者の識別と認証
・ 個人データを取扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。
3)外部からの不正アクセス等の防止
・ 個人データを取扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。
4) 情報システムの使用に伴う漏えい等の防止
・ 情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない。
5-7 外的環境の把握
事業者が、外国において個人データを取扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
5-8 講じなければならない措置及び中小規模事業者における手法の例示
| 講じなければならない措置 | 中小規模事業者における手法の例示 |
| 5-2 個人データの取扱いに係る規律の整備 | |
| 1) 個人データの取扱いに係る規律の整備 | ○個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。 ○取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規定を策定することが考えられる。 |
| 5-3 組織的安全管理措置 | |
| 1) 組織体制の整備 | ○個人データを取扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。 【組織体制として整備する項目の例】 ・ 個人データの取扱いに関する責任者の設置及び責任の明確化 ・ 個人データを取扱う従業者及びその役割の明確化 ・ 上記の従業者が取扱う個人データの範囲の明確化 ・ 法や事業者において整備されている個人データの取扱いに係る規律に違反している事実又は兆候を把握した場合の責任者への報告連絡体制 ・ 個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制 ・ 個人データを複数の部署で取扱う場合の各部署の役割分担及び責任の明確化 |
| 2) 個人データの取扱いに係る規律に従った運用 | ○あらかじめ整備された基本的な取扱方法に従って個人データが取扱われていることを、責任ある立場の者が確認する。 【個人データの取扱いに係る規律に従った運用を確保するため、例えば次のような項目に関して、システムログその他の個人データの取扱いに係る記録の整備や業務日誌の作成等を通じて、個人データの取扱いの検証を可能とすることが考えられる。】 ・ 個人情報データベース等の利用・出力状況 ・ 個人データが記載又は記録された書類・媒体等の持ち運び等の状況 ・ 個人情報データベース等の削除・廃棄の状況(委託した場合の消去・廃棄を証明する記録を含む。) ・ 個人情報データベース等を情報システムで取扱う場合、担当者の情報システムの利用状況(ログイン実績、アクセスログ等) |
| 3) 個人データの取扱状況を確認する手段の整備 | ○あらかじめ整備された基本的な取扱方法に従って個人データが取扱われていることを、責任ある立場の者が確認する。 【例えば次のような項目をあらかじめ明確化しておくことにより、個人データの取扱状況を把握可能とすることが考えられる。】 ・ 個人情報データベース等の種類、名称 ・ 個人データの項目 ・ 責任者・取扱部署 ・ 利用目的 ・ アクセス権を有する者 等 |
| 4) 漏えい等事案に対応する体制の整備 | ○漏えい等事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。 【漏えい等事案の発生時に例えば次のような対応を行うための、体制を整備することが考えられる。】 ・ 事実関係の調査及び原因の究明 ・ 影響を受ける可能性のある本人への通知 ・ 個人情報保護委員会等への報告 ・ 再発防止策の検討及び決定 ・ 事実関係及び再発防止策等の発表 等 |
| 5) 取扱状況の把握及び安全管理措置の見直し | ○責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う。 |
| 5-4 人的安全管理措置 | |
| 1) 従業者の教育 | ○個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。 ○個人データについての秘密保持に関する事項を就業規則等に盛り込む。 |
| 5-5 物理的安全管理措置 | |
| 1) 個人データを取扱う区域の管理 | ○個人データを取扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。 【管理区域の管理手法の例】 ・ 入退室管理及び持ち込む機器等の制限等 ・ ICカード、ナンバーキー等による入退室管理システムの設置等 【取扱区域の管理手法の例】 ・ 間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等による、権限を有しない者による個人データの閲覧等の防止 |
| 2) 機器及び電子媒体等の盗難等の防止 | ○個人データを取扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。 ○個人データを取扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。 |
| 3) 電子媒体等を持ち運ぶ場合の漏えい等の防止 | ○個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入しカバンに入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 |
| 4) 個人データの削除及び機器、電子媒体等の廃棄 | ○個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。 【個人データが記載された書類等を廃棄する方法の例】 ・ 焼却、溶解、適切なシュレッダー処理等の復元不可能な手段を採用する。 【個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄する方法の例】 ・ 情報システム(パソコン等の機器を含む。)において、個人データを削除する場合、容易に復元できない手段を採用する。 ・ 個人データが記録された機器、電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等の手段を採用する。 |
| 5-6 技術的安全管理措置 | |
| 1) アクセス制御 | ○個人データを取扱うことのできる機器及び当該機器を取扱う従業者を明確化し、個人データへの不要なアクセスを防止する。 |
| 2) アクセス者の識別と認証 | ○機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取扱う情報システムを使用する従業者を識別・認証する。 【情報システムを使用する従業者の識別・認証手法の例】 ・ ユーザーID、パスワード、磁気、ICカード等 |
| 3) 外部からの不正アクセス等の防止 | ○個人データを取扱う機器等のオペレーティングシステムを最新の状態に保持する。 ○個人データを取扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。 |
| 4) 情報システムの使用に伴う漏えい等の防止 | ○メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。 |
