個人情報取扱事業者の安全管理措置について | 企業の個人情報保護法への取組と事例:2018年版(4)

個人情報取扱事業者の安全管理措置について | 企業の個人情報保護法への取組と事例:2018年版(4)

イントロダクション

個人情報保護法への取組と事例をテーマにしたお話しの4回目になります。
これまで個人情報保護法の経緯や個人情報の定義、「個人情報取扱事業者」の定義とその義務についてお話ししてきました。
法律的な解説が多かったので、言葉の解説が多くやや流れの悪い説明になってしまうところもありましたが、言葉の定義がブレると正しい意味で伝わらなくなってしまうので一応きちんと説明してきました。

今回からようやく実務的なお話しをしていきたいと思います。
前回の話の中で個人情報の保管・管理について定められたルールとして「安全管理措置」について簡単に紹介しました。
今回は「安全管理措置」の詳細を紹介していきたいと思います。

個人情報保護委員会から出されている「個人情報の保護に関する法律についてのガイドライン(以下ガイドライン)」に細かな記載はあり、これを抜粋したものもいくつか出回っています。
私も調べてみてようやくその体系を理解できたのですが、個人情報取扱事業者には前回のお話しした6つの義務があり、その1つである「保管・管理についてのルールの遵守」のために行うべき措置が今回ご紹介する「安全管理措置」になります。

つまり個人情報取扱事業者は「安全管理措置」だけ行っていれば良いのではなく、あくまで6項目の義務を行い、その1つとして「安全管理措置」に取り組む必要がある、ということなのです。
この項目だけやたら細かい規定があるので、他の5項目と同列であることがパッと見わかりにくいと思ったのは私だけでしょうか。

尚、本記事に登場する各種用語についての言葉の定義は第2回第3回の内容にてご確認願います。

スポンサーリンク

安全管理措置について

個人データの保管・管理のための実務上の指針

「安全管理措置」は個人データの保管・管理のための実務上の指針です。

尚、ガイドラインには「中小規模事業者における手法」があり、中小規模事業者の場合に行うべき管理と通常の事業者が行うべき管理が分けて記載されています。
これは中小規模事業者の管理負担軽減が考慮したものと考えられます。
全ての項目が管理方法が異なるわけではなく、一部共通の管理を求められるものもあるので順に説明していきます。

基本方針の策定

これは義務ではありませんが、社内への周知や制度・手順化のために個人データの保存や取り扱いについて基本的な方針を策定することが推奨されています。

取扱いに係る規律の整備

個人データの取得から削除・廃棄までの取り扱い方法や責任者、担当者とその役割などを決めた取扱規定を作成します。
手順毎に役割と責任を明確にし、明文化して管理することが求められています。

ちなみに中小規模事業者の場合、個別に体制や手順を整えるのではなく、既存の業務マニュアルやチェックリストに個人情報の取扱いを追記する、という方法を取ることも可能なようです。

組織的安全管理措置

まずは個人データを「組織」として安全に管理するための手順です。

組織体制の整備

個人データ保管に関する責任者と従業員の役割や、個人情報漏えいなどのインシデント発生時の報告ルートを明確にしておくこと求められます。
これらを行うためには個人情報管理の体制をきちんと作る必要があります。

中小規模事業者の場合、担当者を選任し、管理者にてチェックを行う、のようなレベル感でよいようです。

規律に従った運用

体制や制度を作ったら、それが正しく運用されているか、システムログや日報等によって取り扱い状況の検証しなくてはいけません。

中小規模事業者の場合、業務日誌等に個人データに関する項目やチェックリストを追加する方法をとることができます。

確認する手段の整備

取り扱いの検証のためには、何をチェックするかを明確にしておく必要があります。
個人情報データベースの種類や、名称、管理している項目、データ毎の責任者、利用者などを管理する必要があります。

中小規模事業者の場合は「規律に従った運用」にあるような業務日誌のようなものを責任者が必ずチェックして目を通す手順にすることで「確認する手順」が整備されていることになります。

漏えい等の事案に対応する体制の整備

チェックを行った結果、情報の紛失や漏えいが報告される場合があります。
問題が発生した場合に誰に報告を上げるのかという報告ルートや二次被害の防止のための手順を事前に規定しておきましょう。

中小規模事業者の場合は個人情報独自のルールでなくとも、日々の業務報告等の一つとして個人情報に係る項目を準備する、というような管理になります。

取扱状況の把握及び安全管理措置の見直し

チェックによってルールの順守が行われていなかったり、漏えい等発生によりルールの不備が発見された場合、作成したルールの見直しを図らなければいけません。

人的安全管理措置

ごく簡単に言えば、個人データの取り扱い等に関する従業員の教育を行うことが求められます。
これが中小規模事業者であっても、そうでなくても必ず実施しなければいけません。

物理的安全管理措置

個人データへのアクセスや保存場所の安全を物理的に確保するための措置です。
デジタルな対策だけではなく、アナログで物理的な対策も盛り込まれています。

個人データを取り扱う区域の管理

個人データを取り扱う場合に、個人情報を取り扱う業務を行うエリア=取扱区域、個人情報データベースが保管されているサーバやファイルなどが設置されているエリア=管理区域を設定し、それぞれ関係者以外の入場の制限や入退室管理、覗き見防止シートの設置等、物理的な保護をエリア毎に設定します。

中小規模事業者の場合、誰でも閲覧・アクセスができる場所に個人データを放置しない、などのルールを設けることになります。

機器及び電子媒体等の盗難等の防止

個人情報はデータだけの形で持ち出されるものではありません。
個人情報が保存されているサーバやPCのセキュリティワイヤーや外部記憶媒体の接続に関する規制を設けることが求められます。

中小規模事業者の場合は、紙資料や電子媒体を台帳等できちんと管理し、整理整頓する等の対応になります。

電子媒体等を持ち運ぶ場合の漏えい等の防止

今度は運搬のためにCDやUSBメモリに入れた電子データが媒体ごと流出することを防ぐための措置です。
ファイルの暗号化やパスワード付きUSBメモリの使用、電子媒体自体の利用管理などを行う必要があります。

中小規模事業者の場合は、ファイルへのパスワード付与等を義務化することで対策されていることになります。

個人データの削除及び機器、電子媒体等の廃棄

システムで保存しているデータの削除や、利用後の電子媒体の破棄などで個人情報の漏えいを防ぎます。
実施すべき内容としてはPCの廃棄時の初期化や媒体の物理破壊、データ削除状態の第三者チェック、紙資料のシュレッダーや焼却などが挙げられます。

初期化や物理破壊、シュレッダーなどは中小規模事業者も同様ですが、中小規模事業者以外の場合、資産管理も兼ねて情シスが初期化や物理破壊を集中管理することも考えられます。

技術的安全管理措置

今度はシステムの機能やログなど技術的な措置によって個人データの安全を確保するための措置です。

アクセス制御

そもそも個人データにアクセスできる人とできない人を権限等で分けて、不要な人までデータを閲覧したりできないようにします。
WindowsドメインのAD機能でフォルダのアクセス権限を設定したり、システムで付与する権限の違いによって閲覧範囲が制御できるような仕組みです。

アクセス者の識別と認証

「アクセス制御」と対になりますが、そもそもアクセスしてきた人が許可している人かどうか判別できなければいけません。
ADユーザーのユーザーIDとWindows認証などがこれにあたります。

これらの仕組みを持たない中小規模事業者は、個人情報にアクセスできる人だけで共有するパスワードなどをファイルに付与する方法があります。

外部からの不正アクセス等の防止

これは個人情報に限ったことではないですが、個人データにアクセスできるネットワークへの不正侵入を防止しなければいけません。
ウイルス等であれば最新のパッチファイルの適用などが考えられます。
この点は中小規模事業者も同じです。

情報システムの使用に伴う漏えい等の防止

システム自体だけではなく、そこから出力されたデータを送付するメールも漏えいしやすいポイントです。
パスワード付与の義務化や、アプリケーションの最新パッチの適用などを行うようにしましょう。

スポンサーリンク

あとがき

安全管理措置について、技術的な部分は情シスの得意分野ですが、人的、物理的な対策や規定・制度の変更など、実施すべき項目は広範囲に及びます。
これらを進めるのは容易ではありません。必ず上位役職者や経営層の合意を取り付けてから進めなければいけなくなるでしょう。

そしてこれらの管理をより有効なものにするためには、「そもそも今保有している個人情報ってどれくら、どのような情報があるのか」を把握しておく必要があります。
次回はそのあたりからお話を進めることにしたいと思います。


個人情報保護関連の記事を纏めました。

セキュリティカテゴリの最新記事