中小規模事業者における特定個人情報の安全管理措置
【基本方針の策定】
・基本方針の策定は義務ではないが、特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要となる。
【取扱規程等の策定】
・特定個人情報等の取扱い等を明確化する。
・事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある立場の者が確認する。
【組織的安全管理措置】
◎組織体制の整備
・事務取扱担当者が複数いる場合、責任者と事務取扱担当者を区別することが望ましい。
◎取扱状況を確認する手段の整備
・特定個人情報等の取扱状況の分かる記録を保存する。例えば、業務日誌等において、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の特定個人情報等の取扱い状況等を記録することなどが考えられる。
◎情報漏えい等事案に対応する体制の整備
・従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認しておく。
◎取扱状況の把握及び安全管理措置の見直し
・責任ある立場の者が、特定個人情報等の取扱状況について、定期的に点検を行う。
【人的安全管理措置】
◎事務取扱担当者の監督
・事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。
◎事務取扱担当者の教育
・事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。
【物理的安全管理措置】
◎特定個人情報等を取り扱う区域の管理
・特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下、管理区域)、及び特定個人情報等を取り扱う事務を実施する区域(以下、取扱区域)を明確にし、物理的な安全管理措置を講ずる。例えば、壁又は間仕切り等の設置及び覗き見されない場所等の座席配置の工夫等が考えられる。
◎機器及び電子媒体等の盗難等の防止
・管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全措置を講ずる。例えば、書類等を盗まれないように書庫等のカギを閉める等が考えられる。
◎電子媒体等を持ち出す場合の漏えい等の防止
・特定個人情報が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
◎個人番号の削除、機器及び電子媒体等の廃棄
・特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
【技術的安全管理措置】
◎アクセス制御
・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することや、機器に標準装備されているユーザ制御機能(ユーザアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
◎外部からの不正アクセス等の防止
・外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。例えば、ウイルス対策ソフトの導入や、ソフトウェア等を最新状態にするなどが考えられる。
◎情報漏えいの防止
・特定個人情報等をインターネット等により外部に送信する場合、通信経路での情報漏えい等を防止するための措置を講ずる。例えば、データの暗号化又はパスワードによる保護等が考えられる。