安全管理措置とは~中小企業と個人情報保護法6
個人情報保護法20条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定します。
具体的にはどのような措置を執ればよいのかについて、個人情報保護法委員会ではガイドラインに具体例を示しています。
もっとも、中小企業(ここでは、従業員の数が100人以下の個人情報取扱事業者で、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者、または、委託を受けて個人データを取り扱う者を除く事業者を指します。)については、取り扱うデータの数や従業員数に鑑みて、義務が円滑に遂行できるよう、緩和された具体例が示されています。
まず、ガイドラインが安全管理措置をどのような視点で執るべきと定めているかを述べた上で、中小企業の具体例について示されているところを述べたいと思います。
6つの措置
ガイドラインでは以下の6つの措置に分けています。
1 基本方針の策定
2 規律の整備
3 組織的安全管理措置
①組織体制の整備 ②規律に従った運用 ③取扱状況の確認手段の整備
④漏えい等事案に対応する体制の整備 ⑤取扱状況の把握・安全管理措置の見直し
4 人的安全管理措置
5 物理的安全管理措置
①区域の管理 ②盗難等の防止 ③持ち運ぶ場合の漏えい等の防止 ④削除・廃棄
6 技術的安全管理措置
①アクセス制御 ②アクセス者の識別・認証 ③不正アクセス等の防止
④情報システム等使用に際しての漏えいの防止
まず憲法のような組織としての基本的な方針を作り、それに従った決まりを作る。次に、組織の形を作り、その中に入る人・物・技術それぞれに対しての手立てを考えるというイメージでしょうか。
1 基本方針の策定
いわゆるプライバシーポリシー的なものです。
ガイドラインには、中小企業とそれ以外の区別はなく
「具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等」
を挙げています。
2 個人データの取扱いに関する規律の整備
ガイドラインでは、中小企業における手法の例示として
「個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。」
としています。何のために(利用目的)個人情報を取得するのか、取得した個人情報をどのように利用するのか、保存をどのように行うのか等を確認して内部の規程を整備することになるでしょう。
3 組織的安全管理措置
(1)組織体制の整備
個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。
複数の従業員がいる場合に、責任者を定めて、責任者によるチェック、責任者に対する報告体制などを作るということになるでしょう。
(2)規律に従った運用
あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。
ガイドラインは、中小企業以外の事業者について、システムログなどの記録の整備、業務日誌の作成などを例示しています。そのような体制ができなかったとしても、少なくとも、個人データの持ち出し、保管、削除等が定めた規律(規程)に従って行われているか、責任者が、適宜確認する必要があるでしょう。
(3)取扱状況の確認手段の整備
あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。
ガイドラインは、中小企業については、具体例として上記の文章になっていますが、それ以外の事業者については、個人情報データベース等の種類、名称、個人データの項目、責任者・取扱部署、利用目的、アクセス権を有する者等を明確にしておくことで取扱状況が把握可能となるとしています。
(4)漏えい等事案に対応する体制の整備
漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。
漏えい等が発生しないように体制を整備することも必要ですが、どれだけ整備しても漏えい等が発生する可能性はゼロにはなりませんし、仮に発生したときの体制を整備しておかなければ、迅速に対応ができません。
万が一漏えい等が発生した場合の報告、対応の手順を確認し、定めておく必要があるでしょう。
(5)取扱状況の把握・安全管理措置の見直し
責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う。
定期点検だけでなく、不都合があれば体制、規程の見直しを適宜することも必要です。
4 人的安全管理措置
従業者に対して、個人データの適切な取扱いの周知とともに適切な教育をすることとされています。
また、定期的な研修や、秘密保持に関する事項を就業規則などに盛り込むことを具体例として挙げています。
5 物理的安全管理措置
(1)区域の管理
サーバ等の重要な情報システムを管理する区域と個人データを取り扱う事務を実施する区域について、それぞれ適切に管理しなければならないとされ、中小企業については、
個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。
とされています。
取り扱うことのできる従業者以外の人が、パソコンやサーバ、ファイルなどに容易に触ることができないよう施錠や間仕切りなどを考えることになるでしょう。
(2)盗難等の防止
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない、とされています。
具体的には、ノートパソコンをセキュリティワイヤーで固定したり、使用しない際には施錠できるキャビネット等に保管するなどといった方法を検討することになります。
(3)持ち運ぶ場合の漏えい等の防止
個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
特に注意したいのは、USBメモリにデータを保存して持ち運ぶことです。小さいので紛失しがちで、よく新聞に漏えい等事案として記事になっています。できればUSBメモリを利用するのは避けたいですが、利用するにしてもファイルにパスワードをかけるなどの方策は最低限とっておきたいところです。
(4)削除・廃棄
個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。
廃棄したパソコンからハードディスクなどの記憶媒体をとりだし、そこからデータを抜き出すことも可能です。復元不可能な状態にする、信用できる業者に委託するなどの対応が必要です。
紙の情報もそのままゴミ箱に捨てることなくシュレッダーにかける、溶解してくれる業者に委託するなどを検討した方がよいでしょう。
6 技術的安全管理措置
(1)アクセス制御
個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。
取り扱うことのない従業者については、パソコンなどの使用はさせない、またファイルへのアクセス権限を与えないなどの対応をとることになります。
(2)アクセス者の識別・認証
機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
誰がシステムを使用するのか、使用しているのかを明確にする必要があります。
(3)不正アクセス等の防止
個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。
Windowsを最新のバージョンにする、Windows Updateで更新のプログラムを定期的にチェックするなどの必要があるでしょうし、ウイルス対策をどのようにとるのかも検討する必要があるでしょう。
(4)情報システム等使用に際しての漏えいの防止
メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。
ガイドラインには、このように書かれていますが、送信先のメールアドレスの確認を忘れずにする必要がまずあると思います。ファイルにパスワードを設定したところで、同一メールにパスワードを記載したり、パスワードを記載したメールを別に送ったところで、送信先のメールアドレスが間違っていたら、元も子もありません。
メールソフトの設定などで送信前に送信先のメールアドレスをチェックする機能を利用するなどの検討も必要かと思います。
終わりに
個人情報(個人データ)の取扱いの見直しをする際には、以上の6つの措置の観点から検討すると整理しやすいと思います。
また、基本方針の策定、規律の整備には弁護士などに相談することも考えられるでしょう。
まずは、取り扱っている個人情報は何か、何のために取得し、利用しているのかから確認されてはいかがでしょうか。