WEBサイト運営事業者やWEB開発事業者は、顧客の営業機密や個人情報を取り扱うことも多く、そのような情報の管理には気をつかうところです。
個人情報保護法では、同法20条で「個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定めており、事業者に個人情報の安全管理の義務を課しています。
しかし、「必要かつ適切な措置」とは具体的にどの程度の対策を要求しているのかが同法や同法施行令では触れられておりません。
そこで、その具体的内容を示したのが、経済産業省の「個人情報の保護に関する経済産業分野を対象とするガイドライン」です。
このガイドラインでは、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4点から具体的な措置内容を例示しており、以下にその概要を挙げます。
組織的安全管理措置
(1)個人データの安全管理措置を講じるための組織体制の整備
個人情報の取り扱いについての内部規定や契約書に従業者の役割や責任を記述し明確にする。
個人情報保護管理者(チーフ・プライバシー・オフィサー(CPO))の設置など
(2)個人データの安全管理措置を定める内規などの整備と規定等に従った運用
定められた規定等に従って業務手続が適切に行われたことを示す証拠(監督証跡)を保持する。
情報システムの利用者とその権限の一覧表、個人データへのアクセス記録、教育受講者一覧表など。
(3)個人データの取扱状況を一覧できる手段の整備
個人データについて、取得する項目、公表した利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限、その他個人データの適正な取扱に必要な情報を記した個人データ取扱台帳の整備。
(4)個人データの安全管理措置の評価、見直し及び改善
監査計画の立案と、計画に基づく監査(内部監査または外部監査)の実施。
(5)事故または違反への対処
以下の(ア)から(カ)までの手順の整備。
- (ア)事実調査、原因の究明
- (イ)影響範囲の特定
- (ウ)再発防止策の検討・実施
- (エ)影響を受ける可能性のある本人への連絡
- (オ)主務大臣への報告
- (カ)事実関係、再発防止策等の公表
人的安全管理措置
(1)雇用契約時における従業者との非開示契約の締結、および委託契約など(派遣契約を含む)における委託元と委託先間での非開示契約の締結。
(2)従業者に対する内部規定等の周知・教育・訓練の実施。
物理的安全管理措置
(1)入退室管理の実施
(2)盗難等の防止
(3)機器・装置等の物理的な保護
技術的安全管理措置
(1)個人データへのアクセスにおける識別と認証
(2)個人データへのアクセス制御
(3)個人データへのアクセス権限の管理
(4)個人データへのアクセスの記録
(5)個人データを取り扱う情報システムについての不正ソフトウェア対策
(6)個人データの移送・送信時の対策
(7)個人データを取り扱う情報システムの動作確認時の対策
(8)個人データを取り扱う情報システムの監視
以上の項目を継続的に満たすことが望ましいとされています。
当サイトでは、個人情報(顧客名簿データ等)・特定個人情報(マイナンバー)・営業機密情報などの情報漏えいを防止するための就業規則・情報管理規程・秘密保持誓約書のひな形3点セットをリンク先ページにてご紹介しております。