いまさら聞けない個人情報保護法~安全管理措置の運用は

行政書士 岡 高志 でございます。

個人情報の保護に関する法律(個人情報保護法)への対応、御社では大丈夫でしょうか。

2017年に改正 個人情報保護法が施行されて、取り扱う個人情報の数が5000以下である事業者を規制の対象外とする制度を廃止したので、ほとんどの事業者が個人情報取扱事業者として個人情報保護法による規制を受けることになりました。自治会や同窓会等の非営利組織でさえも規制の対象です。

個人情報保護法への全般的な対応は前回ご説明しました。

個人情報保護法の安全管理措置の実態は

個人情報保護委員会が示すガイドラインに従って安全管理措置を整備しましょう。

基本方針の策定

個人データの適正な取扱いの確保について組織として取り組むために、基本方針(プライバシーポリシー)を策定する。

具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。

個人データの取扱いに係る規律の整備

個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備する。

組織的安全管理措置

  • 組織体制の整備安全管理措置を講ずるための組織体制を整備
  • 個人データの取扱いに係る規律に従った運用
  • 個人データの取扱状況を確認する手段の整備
  • 漏えい等の事案に対応する体制の整備
  • 取扱状況の把握及び安全管理措置の見直し

人的安全管理措置

従業者の教育従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行う。

物理的安全管理措置

  • 個人データを取り扱う区域の管理
  • 機器及び電子媒体等の盗難等の防止
  • 電子媒体等を持ち運ぶ場合の漏えい等の防止
  • 個人データの削除及び機器、電子媒体等の廃棄を復元不可能な手段で行う。(委託先が確実に削除又は廃棄したことについて証明書等による確認も重要)

技術的安全管理措置

情報システムを使用して個人データを取り扱う場合、技術的安全管理措置として、次に掲げる措置を講じる。

  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報システムの使用に伴う漏えい等の防止

大企業でも安全管理が徹底できてない中で、中小事業者がどこまで対応できるのか懸念されます。

個人情報保護法への対応について行政書士事務所としてご相談承ります。