みなさま、こんにちは。有限会社マイカのライター「秋葉けんた」です。急に暑くなったり、寒くなったり、めまぐるしいですね。「分かりやすいセキュリティ用語集」の第8回目は、個人情報保護法における「安全管理措置」です。

個人情報保護法における【安全管理措置】

経済産業省では、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（以下、ガイドライン）を公表しています。最新の改定では、大手通信教育会社からの個人情報の大量流出事件を受けて、安全管理措置の強化がポイントとなっています。今回はその「安全管理措置」とは何かを見ていきましょう。

個人情報保護法20条では「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」としています。この措置のことを「安全管理措置」と呼んでいます。

しかし、「安全管理のために必要かつ適切な措置」といわれても、漠然としていて、何をどうすればいいのか、よくわかりません。この点についてガイドラインでは、「組織的、人的、物理的及び技術的な安全管理措置」と一歩踏み込んで説明しています。つまり、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全措置」という4つを講じることができれば、「安全管理のための必要かつ適切な措置」が施せていることになる、ということですね。

なお、それぞれの安全管理措置について、ガイドラインでは次のように定義しています。

(1)「組織的安全管理措置」
安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認すること。

(2)「人的安全管理措置」
従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うこと。

(3)「物理的安全管理措置」
入退館（室）の管理、個人データの盗難の防止等の措置。

(4)「技術的安全管理措置」
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置。

※従業者＝個人情報取扱事業者の組織に所属しており、事業者の指揮監督を受けて事業者の業務に従事している人のことを言います。従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、執行役、理事、監査役、監事、派遣社員なども含まれます。

このことからも「安全管理措置」の一言には、非常に多くの要素が内包していることが分かるでしょう。安全管理措置を施すには、広範囲にわたった対応が必要になるのです。それぞれの安全管理措置については、次回以降詳しく解説していきます。

著：秋葉けんた（編集プロダクション「マイカ」に所属するIT専門のライター。オプティマ・ソリューションズのコンサルティングを受けて、自社内の個人情報保護体制を構築し、維持運用している。その中で「セキュリティの専門用語」を理解するのに困難を感じ、同じ課題を持つ方々への情報共有をしたいと考えて、この分かりやすい用語集を執筆している）
監修：中康二（オプティマ・ソリューションズ株式会社）