旧メールマガジン⁄人事・派遣のQ&A

個人情報保護法/「安全管理」の具体的な内容と弊社の取り組み

(情報掲載日:2012年1月23日)

Q個人情報の「安全管理」とは具体的にどのようなことを行えばいいのですか?
また、安全管理を行うことは義務なのですか?
A

個人情報保護法(第20条)では個人情報取扱事業者に対して、個人データの安全管理のために必要な措置を講じることを義務として定めています(安全管理措置義務)。必要な措置を講じておらず問題が生じた場合、個人情報保護法における安全管理措置義務違反となり、その責任を問われることがあるため留意しなければなりません。

  • 第20条
    個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない

ご覧のとおり条文では、安全管理のための配慮に関する具体的な手法や措置の程度は記されていません。そこで、「経済産業分野のガイドライン」等を参考に、「組織的」「技術的」「物理的」「人的」側面から対応が望まれる事項をご紹介します。

  • 【組織的安全措置】
    安全管理について従業員等の責任と権限を明確に定め、安全管理に関する規定等を整備運用し、その状況を確認する。
    • 組織体制の整備
      部署および従業員等の役割・責任の明確化、個人情報保護管理者の設置、監査責任者の設置、監査実施体制の整備 など
    • 規定等の整備・運用
      個人情報の取扱いに関する規定、個人情報を取り扱う情報システム・建物・保管庫等の安全管理に関する規定、個人情報の取扱いを委託する場合の委託先選定基準・委託契約書等の整備 など
    • 個人情報取扱台帳の整備(社内の個人情報資産の洗い出し)
      個人情報として取得する項目・通知した利用目的・保管場所・保管方法・アクセス権限保有者・利用期限等を記載した台帳の整備 など
    • 安全措置の評価・見直し
      監査計画の立案および実施、監査結果および社会通念の変化・情報技術の進歩に応じた見直し など
    • 事故・違反への対処
      トラブル発生時の社内連絡フローの確立、事実関係および再発防止策等の公表 など

  • 【技術的安全措置】
    個人情報およびそれを取り扱う情報システムへのアクセス制御・監視、不正ソフトウェア対策、個人データの暗号化、データ廃棄における媒体性質に応じた適切な廃棄 など

  • 【人的安全措置】
    雇用および契約時などにおける守秘義務契約の締結、守秘義務契約等に反した場合の措置に関する規定の整備、従業員等に対する周知・教育・訓練の実施 など

  • 【物理的安全措置】
    入退館(室)の管理、個人情報の盗難防止等の措置、機器・装置等の物理的な保護 など
Qテンプスタッフでは安全管理措置として、具体的にどのような対策を講じているのですか?
A

弊社では情報管理専門部署を設置し、社内体制および規定の整備、安全管理に関する責任と権限の明確化、個人情報の取扱いに関する具体的な運用ルールの策定などを行いました。2002年1月に外部機関の認証(プライバシーマーク)を取得し、ルールに則った運用を行っています。
安全管理措置の取り組みの中から、一部ご紹介します。

  • 【組織的安全措置】
    ・専門部署、個人情報保護管理者の設置
    ・情報保護管理規定等の整備
    ・監査計画の策定および実施
  • 【技術的安全措置】
    ・個人データへのアクセスパスワードの定期的な変更
    ・過去使用パスワードの再利用制限
    ・離席時のパスワード付スクリーンセイバー起動
    ・記憶媒体(フロッピーディスク、CD-R等)の使用禁止
    ・ノートパソコンの持ち込み・使用禁止
  • 【人的安全管理】
    ・情報保護に関する誓約書の提出
    ・守秘義務契約違反に関する人事規定の整備
    ・情報保護研修の実施
  • 【物理的安全措置】
    ・業務エリアへのセキュリティシステム導入
    ・入退室記録、来訪者記録の管理
    ・入室許可証もしくはビジターカードの携行
    ・セキュリティキー保有者記録・貸出記録の管理
    ・営業上における私物鞄の使用禁止、会社指定鞄の支給
    ・個人情報を含む書類の施錠管理
    ・帰宅時の机上整理(書類の放置禁止)・施錠
Q個人情報保護を徹底するため従業員への意識付けを行うには、どのようなことから始めればいいのでしょうか?
A

現在の個人情報保護体制や、個人情報の取扱い方法、従業員の意識レベル、などを把握し、その状態に合わせた研修などを行うといいでしょう。とくに、「個人情報」の理解についての社内統一を図り、「知らなかった」「誤って理解していた」などの理由によるトラブルを未然に防ぐ働きかけが必要です。
また、従業員の情報保護意識の向上には、経営陣(トップ)の存在が大変重要です。企業として情報保護に積極的に取り組んでゆくことを従業員に示すことで、情報保護の意識がよりスムーズに従業員に浸透していきます。

  • 【経営陣から従業員への働きかけ】
    • ・従業員へ話す機会(社員総会、役員会、営業会議など)があるたび、経営陣自ら情報保護について話をする
    • ・情報保護担当部署および担当者を経営陣が全面的にサポートする(絶対的な後ろ盾になることで、企業意思を示す)
    • ・経営陣自ら情報保護に積極的に取り組み、社内外において行動で示す(自分の机の鍵を施錠して帰る、来訪者記録の記入を行う、入室許可証を携行するなど)
  • 【従業員へ伝えるべき基本事項】
    • [個人情報の定義]
      自社で取り扱う情報のうち、「個人情報」に該当するものを具体的に示すなどして、社内認識の統一を図る
    • [個人情報保護の重要性]
      法律施行・社会環境などの背景、個人情報保護を怠った場合の対外的影響や企業が負う責任など、重要性を伝える
    • [企業としての方向性]
      企業として個人情報保護への取り組み姿勢、目標とする状態、従業員に望むことなどを示し、目標を共有する
    • [個人情報取扱いルール]
      組織体制・規定、情報取扱いルール、運用管理・チェック体制などを明確にし、各自が行う対応への理解を促進する

また、前述のような内容に加え、定期的な啓蒙活動による意識レベルの維持も必要です。たとえばテンプスタッフでは、以下のような情報管理教育を継続的に実施しています。

  • 【テンプスタッフの社員向け情報管理教育】
    ・ 職位別情報保護研修
    ・ 全社員向け情報保護研修(ビデオ研修など)
    ・ 情報管理専門部署からの定期的なレポート発行
    ・ 情報管理環境整備のための定期的なオフィス訪問
    ・ 情報保護強化キャンペーンの実施 など

このページのトップへ