日々業務の中で、個人情報を適正に取り扱うため、社内ルールの作成などの対応をされているかと思います。個人情報保護委員会では、5/27~6/2までを「個人情報を考える週間」として、各種情報発信などが行われ、WEBサイトの中で、事業主に対して以下のような安全管理措置の再確認が求められています。
(個人情報保護委員会HPより転載)
【技術的安全管理措置】
個人情報取扱事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。
(1) アクセス制御
・個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者
を明確化し、個人データへの不要なアクセスを防止する。
(2) アクセス者の識別と認証
・機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
(3) 外部からの不正アクセス等の防止
・個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
・個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。
(4) 情報システムの使用に伴う漏えい等の防止
・メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。
【物理的安全管理措置】
個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。
(1) 個人データを取り扱う区域の管理
・個人データを取り扱うことのできる従業者及び本人以外が容易に
個人データを閲覧等できないような措置を講ずる。
(2) 機器及び電子媒体等の盗難等の防止
・個人データを取り扱う機器、個人データが記録された電子媒体又は
個人データが記載された書類等を、施錠できるキャビネット・書庫等
に保管する。
・個人データを取り扱う情報システムが機器のみで運用されている
場合は、当該機器をセキュリティワイヤー等により固定する。
(3) 電子媒体等を持ち運ぶ場合の漏えい等の防止
・個人データが記録された電子媒体又は個人データが記載された
書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入
れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
(4) 個人データの削除及び機器、電子媒体等の廃棄
・個人データを削除し、又は、個人データが記録された機器、電子
媒体等を廃棄したことを、責任ある立場の者が確認する。
ホームページには、上記内容に関するリーフレットなどの案内も掲載されていますので、対策が不十分と思われる場合には、この機会に対策を再確認してみてはいかがでしょうか。
個人情報保護委員会HP「個人情報を考える週間」
https://www.ppc.go.jp/news/privacy_awareness_week/
コメント