組織的安全管理措置
【組織的安全管理措置として講じなければならない事項】
①個人データの安全管理措置を講じるための組織体制の整備
②個人データの安全管理措置を定める規程等の整備と規程等に従った運用
③個人データの取扱い状況を一覧できる手段の整備
④個人データの安全管理措置の評価、見直しおよび改善
⑤事故または違反への対処
経済産業省ガイドラインを参考にして、企業各社が検討すべきこれらの組織的安全管理措置の具体例を紹介する。
組織的安全管理措置①
「個人データの安全管理措置を講じるための組織体制の整備」の実践例
O「従業者の役割と責任の明確化を行う。個人データの安全管理に関する従業者の役割・責任を職務分掌規程、職務権限規程などの内部規程、契約書、職務記述書などに具体的に定める」
O「個人データの安全管理の実施および運用に関する責任および権限を有する者として、個人情報保護管理者(チーフ・プライバシー・オフィサー=CPO)を設置し、原則として役員を任命する」
O「個人データの取扱いを総括する部署の設置、および個人情報保護管理者(CPO)が責任者となり、社内の個人データの取扱いを監督する『管理委員会』を設置する」
O「個人データの取扱い(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄などの作業)における作業責任者を設置して、作業担当者を限定する」
O「個人データを取り扱う情報システムの運用責任者を設置し、システム管理者を含む担当者を限定する」
O「個人データの取扱いにかかわるそれぞれの部署の役割と責任の明確化を行う」
O「監査責任者を設置する」
O「個人情報保護対策と最新の技術動向を踏まえた、情報セキュリティ対策について十分な知見を持つ者によって社内の対応状況を確認し、監査実施体制を整備する」(必要に応じて外部の知見を持つ者を活用し確認する)
O「個人データの取扱いに関する規程に違反した事実や兆候に気づいた場合の、代表者への報告連絡体制を整備する」
O「個人データの漏えい(または滅失、き損)の事故が発生した場合、もしくは事故発生の可能性が高いと判断した場合の、代表者などへの報告連絡体制を整備する」(個人データの漏えいなどについての情報は代表窓口や苦情処理窓口を通じて、外部からもたらされる場合もあるため苦情の処理体制との連携を図ることが望ましい)
O「漏えい事故による影響を受ける可能性のある本人への情報提供体制を整備する」
O「漏えいなどの事故発生時に主務大臣や認定個人情報保護団体などに対する報告体制を整備する」
組織的安全管理措置②
「個人データの安全管理措置を定める規程等の整備と規程等に従った運用」の実践例
O「個人データの取扱いに関する規程などを整備して、それらに従って運用する」
O「個人データを取り扱う情報システムの安全管理措置に関する規程などを整備してそれらに従って運用する」
O「個人データの取扱いに関係する建物、部屋、保管庫などの安全管理に関する規程などを整備して、それらに従って運用する」
〇「個人データの取扱いを委託する場合の委託先の選定基準、委託契約書のひな型、委託先での委託した個人データの取扱い状況を確認するためのチェックリストなどを整備し、それらに従って運用する」
O「定められた規程などに従って業務手続きが適切に行われたことを示す監査証跡を保持する」(保持が望まれる監査証跡としては、個人データに関する情報システム利用申請書、ある従業者に特別な権限を付与するための権限付与申請書、情報システムの利用者とその権限の一覧表、建物などへの入退館記録、個人データへのアクセスや操作の記録、教育受講者一覧表などが考えられる)
組織的安全管理措置③
「個人データの取扱い状況を一覧できる手段の整備」の実践例
O「個人データについて、取得する項目、明示や公表をした利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限などのほか、個人データの適正な取扱いに必要な情報を記した個人データ取扱台帳を整備する」
O「個人データ取扱台帳の内容の定期的な確認によって最新状態を維持する」
組織的安全管理措置④
「個人データの安全管理措置の評価、見直しおよび改善」の実践例
〇「監査計画の立案と、計画に基づく監査(内部監査または外部監査)を実施する」
O「監査実施結果を取りまとめて、代表者に報告する」
〇「監査責任者から受ける監査報告と、個人データに対する社会通念の変化や情報技術の進歩に応じて、定期的な安全管理措置の見直しと改善を行う」
個人情報の漏えい事故や違反などを起こしてしまった場合は、次のような対処を行うが、たとえば、容易に入手できる市販名簿などを無加工の状態で紛失した場合にはこれらの対処は不要と考えられる。
組織的安全管理措置⑤
「事故または違反への対処」の実践例
〇「事実調査を行い、原因を究明する
O事故や違反の影響範囲を特定する
〇「再発防止策を検討し実施する」
O「二次被害を防止するためにも、影響を受ける可能性のある本人に連絡して、事故または違反について本人へ謝罪する」
O「認定個人情報保護団体の対象事業者の場合は、経済産業大臣への報告に代えて、所属する認定個人情報保護団体に報告することができる」
O「個人情報取扱事業者が認定個人情報保護団体の対象事業者でない場合は経済産業大臣(主務大臣)に報告する」
O「思想信条や宗教、人種、政治的権利の行使や保健医療などの機微にわたる個人データや、信用情報やクレジットカード番号などを含む二次被害が発生する可能性の高い個人データが漏えいした場合、同一事業者が繰り返し漏えい事故を発生させた場合などは、経済産業大臣にすみやかに報告する」
O「認定個人情報保護団体の対象事業者であるか否かにかかわらず、経済産業大臣への報告のほかに、所属する業界団体などの関係機関に報告する」
O(例外として)「宛名や送信者名以外に個人情報が含まれない場合に限ったファクスやメールの誤送信や、個人情報が含まれない荷物が誤配により宛名に記載された個人データが第三者に開示された場合などについては報告する必要はない」
O「二次被害の防止、類似事案の発生回避の観点から、可能な限り事実関係、再発防止策を公表する」
(※ 平成27年11月時点で執筆しております。その後の法改正にご留意ください。)
新着情報・セミナー情報
-
セミナー情報 -
お知らせ -
お知らせ -
お知らせ -
セミナー情報
NEWS LETTER バックナンバー
-
2020.09.01
-
2020.08.01
-
2020.07.01
-
2020.06.01
