本メディア「まもりの種」では、2022年4月に施行される個人情報保護法改正について解説をお届けしております（これまでの記事は最下部ご参照）。今回は、「個人データの取り扱いに関する安全管理措置」について解説します。個人情報保護委員会が制定した個人情報の保護に関する法律についてのガイドライン（以下、ガイドライン）では、改正法に合わせて企業が取り組まなければならない具体的な手法例が記してあります。企業は内容を理解し、必要に応じてこれらに沿った規定を策定するなど、対応を進める必要があります。本記事ではこの安全管理措置について具体的に確認していきます。

個人データの取り扱いに関する安全措置とは？

ガイドラインでは「個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又は毀損の防止、その他個人データの安全管理のために必要かつ適切な措置を講じなければならない」と明示されており、その措置のことを「安全管理措置」と言います。

基本方針の策定

「個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である」と明記されています。個人情報保護法ガイドラインには、基本方針の手法例が記載されていますので、下記にご紹介します。

個人データの取扱いに係る規律の整備

同ガイドラインでは、個人データの取り扱いに係る規律の整備をする必要があると記載されています。具体的には、個人データの取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について取扱規程を策定するなどです。

組織的安全管理措置

個人情報取扱事業者は、組織的安全管理措置として次に掲げる5つについて措置を講じなければなりません。

• （1）組織体制の整備
  • （例）
  • ・個人データの取扱いに関する責任者の設置及び責任の明確化
  • ・個人データを取り扱う従業者及び役割、取り扱う個人データの範囲の明確化
  • ・個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制

• （2）個人データの取扱いに係る規律に従った運用
  • （例）
  • ・個人データが記載又は記録された書類・媒体等の持ち運び等の状況
  • ・個人情報データベース等の削除・廃棄の状況（委託した場合の消去・廃棄を証明する記録を含む。）

• （3）個人データの取扱状況を確認する手段の整備
  • （例）
  • ・個人情報データベース等の種類、名称・個人データの項目・責任者、取扱部署・利用目的・アクセス権を有する者等の明確化

• （4）漏えい等事案に対応する体制の整備
  • （例）
  • ・事実関係の調査及び原因の究明
  • ・影響を受ける可能性のある本人への通知
  • ・個人情報保護委員会等への報告

• （5）取扱状況の把握及び安全管理措置の見直し
  •  （例）
  • ・個人データの取扱状況について、定期的に自己点検又は他部署や外部等による監査の実施

なお、漏洩等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じた事実関係及び再発防止策等を早急に公表することが求められています。

人的安全管理措置

個人情報取扱事業者が講じなければならない人的安全管理措置は、従業者に向けた定期的な研修や個人データの取扱いに関する指導が相当します。また、就業規則に個人データの秘密保持に関する事項を記載することも求められています。

過去には実際に、従業者が機密情報を持ち出してしまう事件が発生しています。人的安全管理措置により完全に事故・事件を防げるわけではありませんが、抑止効果は見込めます。不要な漏えいを防ぐためにも必ず実施する必要があるでしょう。

研修の手段は、講座形式以外にもeラーニングやワークショップ、抜き打ち訓練、外部講師による研修を行うなど多様な方法で従業者の理解を深めるように努めましょう。

物理的安全管理措置

個人情報取扱事業者は、物理的安全管理措置として次に掲げる4つについて措置を講じなければなりません。

• （1）個人データを取り扱う区域の管理
  • （例）
  • ・管理区域(※1)の場合：入退室管理及び持ち込む機器等の制限等
  • ・取扱区域(※2)の場合：権限を有しない者による個人データの閲覧等の防止（間仕切り等の設置、座席配置の工夫、のぞき込み防止措置 等）

• （2）機器及び電子媒体等の盗難等の防止
  • （例）
  • ・個人データが記録された電子媒体及び書類は、施錠可能な場所に保管する
  • ・個人データを取り扱う機器をセキュリティワイヤー等により固定する

• （3）電子媒体等を持ち運ぶ場合の漏洩等の防止
  • （例）
  • ・個人データの暗号化、パスワードによる保護等
  • ・施錠できる搬送容器の利用

• （4）個人データの削除及び機器、電子媒体等の廃棄　など
  • （例）
  • ・書類等の場合：焼却、溶解、適切なシュレッダー処理、専門業者への委託による機密処理等
  • ・機器、電子媒体等の場合：専用のデータ削除ソフトウェアの利用又は物理的な破壊、専門業者への委託による機密処理等
  • ※1：個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域
  • ※2：個人データを取り扱う事務を実施する区域

技術的安全管理措置

個人情報取扱事業者は、技術的安全管理措置として次に掲げる4つについて措置を講じなければなりません。

• （1）アクセス制御
  • （例）
  • ・情報システムに応じて、個人データへのアクセス権を限定する

• （2）アクセス者の識別と認証
  • （例）
  • ・ユーザーID、パスワードの設定及び管理
  • ・磁気、IC カード等の使用

• （3）外部からの不正アクセス等の防止
  • （例）
  • ・ファイアウォール等を設置し、不正アクセスを遮断する
  • ・セキュリティ対策ソフトなどを導入し、不正ソフトウェアの有無を確認する

• （4）情報システムの使用に伴う漏えい等の防止
  • （例）
  • ・個人データを含む通信の経路又は内容を暗号化する。
  • ・個人データを含むファイルをメールで送信する際は、パスワードを設定する

上記は一度設定した後も、セキュリティ対策ソフトを常に最新の状態にしておく、退職者が出たらアクセス権限の無効化を行うなど定期的な更新が必要になります。場合によっては外部の専門者に依頼するケースも視野に入れておきましょう。

外的環境の把握

ガイドラインでは「個人情報取扱事業者が外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定義されています。

今後、グローバルな戦略を進めていくうえで外国での個人データの取り扱いには自国と外国両方の制度を理解したうえで進めなければなりません。

個人情報保護法の対応は専門コンサルタントへの相談がおすすめ

個人データの扱いに関しては、正しい法規制の理解や企業に沿った正しい対応方法が求められます。そこで、会社や資産を適切に守っていくために、情報セキュリティに関しては専門家の指導を受けることをおすすめします。

今回は、人材と資産をまもる教育・コンサルティングサービス、日本パープルの「Coach Mamoru（コーチマモル）」をご紹介します。

Coach Mamoruは、専門コンサルタントが企業の課題に合わせてコンサルティング内容をカスタマイズして提供するサービスです。自社のガイドラインが正しいのか確認したい、規定に漏れがないか知りたいなど、個人情報保護法改正に関するお悩みをお持ちの担当者は一度相談してみてはいかがでしょうか。

Coarch MAMORU URL：https://www.mamoru-kun.com/security_consulting/

情報漏洩事故を防ぐためにも、安全管理措置は必須。専門家による適切な見直しを行おう

個人データを取り扱う企業は、今回の個人情報保護法の改正に合わせて今一度規定の見直しが求められています。事故や事件、法違反が発生してしまった場合、社会的信頼も含めた大きな損害になってしまう可能性があります。今回ご紹介したコンサルティングサービスに相談するなどして、適切な対策を講じていくことをおすすめします。