プライバシーマークで求められる安全管理措置(個人情報漏洩等を起こさないための取り組み)は運用上、とても重要なものになっています。

 

プライバシーマークの現地審査ではあまり現場でどんな安全管理措置がなされているかは時間をかけてチェックがなされないのが実情ではありますが、どのようなことがルールとして策定されているかは確認されます。

 

審査云々関係なく、個人情報が漏洩等しないためには正確性の確保と安全管理措置がどれだけちゃんと実践されているかが重要になります。

ただ、その安全管理措置もなんでも良いとかIT技術をフル活用しただけのもので良いのかというとそうでもありません。

 

個人情報保護法のガイドライン通則編では「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」の4つの分野で安全管理措置を実践することを求めています。

このうち、「組織的安全管理措置」、「人的安全管理措置」についてPマークでは別の項番で定めているので今回は割愛します。

残り2つの「物理的安全管理措置」、「技術的安全管理措置」について触れて行きたいと思います。

 

・物理的安全管理措置

まず、物理的安全管理措置ですが内容として区画の管理、盗難防止、持ち運び時の管理、情報の廃棄について考える必要があります。

 

区画の管理：

ここでは事務所の入退室管理や来客管理など求められる主なルールです。

具体的にどのようなルールにするかは各社の事情によりますが、主には入退室や来客時に記録を残すなどが内容になってきます。

 

盗難防止：

こちらについてはある意味、言葉のとおりになります。

個人情報が盗難されないようにキャビネットや引き出しを施錠する。

ノートPCのワイヤーロックや施錠管理

などが実施しなければならない事項になります。

 

持ち運び時の管理：

こちらも言葉のとおりではありますが、個人情報を持ち運ぶ際のルールになります。

鞄を開封しないように注意する

車などでの移動時の管理方法

USBメモリなどにコピーして持ち運ぶ際のルール

などが想定されるルールになります。

 

情報の廃棄：

4つめは個人情報の廃棄についてです。

シュレッダーや廃棄ボックスを活用しての廃棄、電子データについてはＰＣ廃棄時のルールなどが想定される内容になります。

 

様々ありますが、共通するのは物理的なものの管理をどうするか。になります。

 

・技術的安全管理措置

もう1つが技術的安全管理措置になります。

こちらも小分類として「アクセス制御」、「アクセス者の識別と認証」、「外部からの不正アクセス等の防止」、「情報システムの使用に伴う漏えい等の防止」に分類されます。

 

アクセス制御：

まず求められるのがアクセス制御です。

いわゆるアクセス権の設定(個人情報に触れることが出来る人を限定する)がここでは求められるものになっています。

 

アクセス者の識別と認証：

2つ目ですが、誰が個人情報に触れたかを識別、確認できるすべを設けることが必要になってきます。

 

外部からの不正アクセス等の防止：

ここで求められるのは、下記のようなものになります。

OSなどのぜい弱性に対する対応

ログの取得

ウイルス対策ソフトの導入や定期的なスキャン

外敵に対する防御や何かあった際の確認手段の確立がポイントになります。

情報システムの使用に伴う漏えい等の防止：

4つの情報システムの使用に伴う漏えい等の防止ですが、下記のような取り組みが求められます。

問い合わせフォームからの通信の暗号化

メールなどで個人情報を授受する際のルール

 

このような個人情報保護のために実施すべき安全管理措置は多数多岐にわたります。

ここに上げたものが全てはありませんし、全ての会社に合ったものにはありません。

上記内容を参考に自社に合った安全管理措置の実践が必要であるとお考えください。