2005年 11月 18日
誰でもわかる!簡単【個人情報保護法】14 ~ガイドライン解説6:安全管理措置~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の6回目です。今回からは、主に情報セキュリティについて規定している「安全管理措置」についてです。

まず個人情報保護法を見ておきましょう。

法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

この項目についてはガイドラインでもかなりのボリュームがありますので、少し整理してから進めていきましょう。ガイドラインでは個人情報の「安全管理措置」として4つの対策を挙げています。

・組織的安全管理措置
 体制を整備したり、規定を設けたり、台帳管理をしたりといった、個人情報の管理の仕組み作りについて定められています。

・人的安全管理措置
 教育や機密保持契約といった従業者の管理方法について定められています。

・物理的安全管理措置
 入退室管理や盗難対策など防犯対策等について定められています。

・技術的安全管理措置
 アクセス制御や不正ソフトウェア対策といった情報システム・ネットワークの管理について定められています。

これら4つの項目については、それぞれ「講じることが望まれる事項」として具体的な対策案が記載されています。しかし、この4つの対策を、全て最高レベルで実施する必要はありません。ガイドラインでも、

事業の性質及び個人データの取扱状況等に起因するリスクに応じた必要かつ適切な措置

をとるようにとされています。
では、具体的にどのような状態がリスクに応じた対策をとっている状態なのでしょう?
ガイドラインでは、これをやっていれば大丈夫ですよ、とは書きにくいからか、安全管理措置を講じていないとみなされる状態を事例として挙げています。
皆さんの会社ではこのような事が起こりえないと言えますか?参考にしてみてください。

【必要かつ適切な安全管理措置を講じているとはいえない場合】
事例1) 公開されることを前提としていない個人データが事業者のウェブ画面上で不特定多数に公開されている状態を個人情報取扱事業者が放置している場合
事例2) 組織変更が行われ、個人データにアクセスする必要がなくなった従事者が個人データにアクセスできる状態を個人情報取扱事業者が放置していた場合で、その従事者が個人データを漏えいした場合
事例3) 本人が継続的にサービスを受けるために登録していた個人データが、システム障害により破損したが、採取したつもりのバックアップも破損しており、個人データを復旧できずに滅失又はき損し、本人がサービスの提供を受けられなくなった場合
事例4) 個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこから個人データを入手して漏えいした場合
事例5) 個人データをバックアップした媒体が、持ち出しを許可されていない者により持ち出し可能な状態になっており、その媒体が持ち出されてしまった場合

[PR]

by office-izutani | 2005-11-18 09:04 | 誰でも簡単【個人情報保護】


<< 誰でもわかる!簡単【個人情報保...      誰でもわかる!簡単【個人情報保... >>