安全管理措置
必要かつ適切な安全管理措置(前編)では、基本方針の策定、取扱規程等の策定、組織的安全管理措置についてふれましたが、中編では人的安全管理措置、物理的安全管理措置について解説したいと思います。
人的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければなりません。
事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う必要があります。近年では情報漏えいに従業者がかかわることも多く、不審な行動をとっていないかなどを監督します。
事務取扱担当者の教育
事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う必要があります。
情報漏えいは事務取扱担当者が故意に漏えいさせるケースばかりではございません。日本年金機構から約101万人の年金情報が流出したことは記憶に新しいと思いますが、これは標的型攻撃(実在する事務取扱担当者あてに電子メールを送り、ウイルスに感染した添付ファイルを開かせる手法)による情報漏えいになります。
このような人的ミス(ヒューマンエラー)を防止するために、事務取扱担当者に対しネットリテラシー教育を含めた適切な教育を行ってください。
物理的安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければなりません。
特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる必要があります。
中小規模事業者の場合は、事務取扱担当者のパソコン1台で全ての経理事務を行うことも多く、管理区域と取扱区域を明確に区別することは難しいと思います。この場合は事務取扱担当者のパソコンの画面が他の従業者に見えないように間仕切りを設置したり、後ろからのぞき見される可能性の低い場所へ座席を変えるなどの工夫をしてください。
機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる必要があります。
これは施錠できるキャビネットなどに特定個人情報を取り扱う機器や書類を保管する。パソコンはセキュリティワイヤーなどで固定するといった対策が考えられます。
電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずる必要がありま。
「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する必要があります。
電子媒体で持ち出す場合は、データを暗号化したりパスワードによる保護を行います。
中小規模事業者の場合は、書類で持ち出すことが多いと思われますので、書類を封筒に入れ封緘する、目隠しシールなどを貼るなどの対策を講じた上で、しっかりカバンに入れるなどの対策を講じましょう。
当然、電車や飲食店などでのカバンの置き忘れには十分留意してください。
個人番号の削除、機器及び電子媒体等の廃棄
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存します。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する必要があります。
中小規模事業者の場合は、特定個人情報等を削除、廃棄したことを、責任のある立場の者が確認します。
具体的には特定個人情報等が記載された書類をシュレッダーなどで削除する場合、いつ、どの事務取扱担当者がどのようなファイル(○○月××日時点で保管期間が経過したものなど)を削除したかを記録し、責任のある立場の者が確認する手順を明確にしておきましょう。