今月は、「安全管理措置(A.3.4.3.2)」についてご説明します。
JIS Q 15001:2017では、『組織は、その取り扱う個人情報の個人情報保護リスクに応じて、
漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を
講じなければならない。』と定めています。
そのため、プライバシーマーク取得事業者は、「リスクアセスメント及びリスク対策
(A.3.3.3)」で認識したリスクに対して、以下に示す4つの観点を踏まえて、安全管理措置
を講じる必要があります。
①組織的安全管理措置
従業者の責任及び権限を明確にし、運用ルールを社内規程等で定めること。
例)個人データの取り扱いに関する責任者の設置及び責任の明確化
個人データの漏洩等の事案の発生又は兆候を把握した場合の責任者への
報告連絡体制の整備
②人的安全管理措置
従業者に対して、業務上秘密と指定された個人データの非開示契約の締結、教育などを
行うこと。
例)入社時の守秘義務研修、年1回以上の定期教育の実施
従業者との秘密保持誓約書の締結
③物理的安全管理措置
セキュリティエリアの入退室管理、個人データの盗難防止対策などを実施すること。
例)ICカード、ナンバーキー等による入退室管理システムの設置
個人データが記載された書類・ファイル等の施錠可能なキャビネットへの保管
④技術的安全管理措置
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、
情報システムの監視などを行うこと。
例)個人データを取り扱うデータベースに対するアクセス権限の設定
ファイアウォールの設置やセキュリティ対策ソフトウェアの導入
安全管理措置(A.3.4.3.2)では、緊急事態が発生した場合に本人が被る権利利益の侵害の
大きさを考慮し、リスクに応じた対策を実施することを求めています。そのため、すべての
個人情報について、一律な措置を講じる必要はありません。
一度、自社で定める管理策が適切かどうか、JIS Q 15001:2017に添付されている『附属書C
(参考)安全管理措置に関する管理目的及び管理策』を確認すると良いでしょう。
コメント