【用語集】個人情報保護のための組織的安全管理措置とは何ですか? みなさま、こんにちは。今回の「分かりやすいセキュリティ用語集」は「組織的安全管理措置」です。
【組織的安全管理措置】
「個人情報保護法に関する経済産業分野ガイドライン」(以下、経産省ガイドラインという)は「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全措置」という4つの安全措置を講じることを求めています。今回からは、それぞれの安全管理措置について見ていきたいと思います。
今回はそのなかの一つ、「組織的安全管理措置」について解説していきたいと思います。「組織的安全管理措置」は、経産省ガイドラインにおいて「安全管理について従業者の責任と権限を明確に定め、安全管理に対する規定や手順書を整備運用し、その実施状況を確認すること」と定義されています。
具体的には、(1)個人データの安全管理措置を講じるための組織体制の整備、(2)個人データの安全管理措置を定める規程等の整備と規程等に従った運用、(3)個人データの取扱状況を一覧できる手段の整備、(4)個人データの安全管理措置の評価、見直しおよび改善、(5)事故又は違反への対処――などの5項目に細分化しています。これらを実施することで「組織的安全管理措置」を講じたことになります。実際の手法については、下記をご参照ください。
| ■「個人データの安全管理措置を講じるための組織体制の整備」で求められる手法の例 |
| ・個人データの安全管理に関する従業者の役割・責任を職務分掌規程、職務権限規程などの内部規定や契約書、職務記述書などに具体的に定める ・個人情報保護管理者を設置する ・個人データの取り扱いを総括する部署や個人データの取り扱いを監督する「管理委員会」を設置する ・作業責任者を設置する ・作業担当者を限定する ・監査責任者を設置する ・部署の役割と責任を明確化する ・情報セキュリティ対策に十分な知見を有する者が社内の対応を確認し、監査実施体制を整備する ・違反、漏えいなどに気付いた際の報告・連絡体制を整備する |
| ■「個人データの安全管理措置を定める規程等の整備と規程等に従った運用」で求められる手法の例 |
| ・個人データの取り扱いに関する規程などの整備と運用 ・情報システムの安全管理措置に関する規程などの整備と運用 ・建物、部屋、保管庫などの安全管理に関する規程等の整備と運用 ・委託先の選定基準、委託契約書のひな型、委託先における委託した個人データの取り扱い状況を確認するためのチェックリストなどの整備と運用 ・定められた規程などに従って業務手続きが適切に行われたことを示す監査証跡の保持 |
| ■「個人データの取扱状況を一覧できる手段の整備」で求められる手法の例 |
| ・取得する項目、明示・公表などを行った利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限、そのほか個人データの適正な取り扱いに必要な情報を記した個人データ取り扱い台帳を整備する ・台帳を定期的に確認し最新状態を維持する |
| ■「個人データの安全管理措置の評価、見直しおよび改善」で求められる手法の例 |
| ・監査計画の立案と、計画に基づく監査の実施 ・結果の取りまとめと、代表者への報告 ・監査報告や定期的な安全管理措置の見直しおよび改善 |
| ■「事故または違反への対処」で求められる手法の例 |
| ・事実調査、原因の究明 ・影響範囲の特定 ・再発防止策の検討・実施 ・影響を受ける可能性のある本人への連絡 ・主務大臣等への報告 ・事実関係、再発防止策等の公表 |
ここで例示している対策は、必ず実施しなければいけないというものばかりではありません。しかし、実際に、漏えい事故が起きた場合には、どれだけ対策を講じていたのかが注目されることも少なくないため、1つでも多くの項目について、ある程度の対策を実施していく必要があると思います。
また中小企業が大企業でも異なる安全管理措置を講じる必要があります。
個人情報保護委員会が公表する「ガイドライン(通則編)」では、中小企業の実情に配慮した内容が定められています。特に、取り扱う個人情報の量や内容、取扱う従業員の数などが限定的である場合、中小規模事業者向けの具体的な措置例が示されています。
これにより、過度な負担を避けつつ、リスクに見合った適切な管理体制を構築することが可能になります。
ただし、規模が小さいことを理由に安全管理をおろそかにすることは認められていません。自社の実態に即した措置を講じているかが問われる点には注意が必要です。
「中小規模事業者」とは、従業員数が100人以下の個人情報取扱事業者を指します。
ただし、以下のいずれかに該当する場合には、従業員数が100人以下であっても「中小規模事業者」には該当しません。
- 事業の用に供する個人情報の件数(=本人の人数の合計)が、過去6カ月以内のいずれかの日において5,000人を超えている場合
- 他の個人情報取扱事業者から業務委託を受けて個人情報を取り扱っている場合
このように、「中小規模事業者」に該当するかどうかは、単に従業員数だけではなく、保有する個人情報の件数や委託業務の有無も踏まえて判断する必要があります。
その他の安全措置については、下記のページで詳しく解説していますので、合わせてチェックしてみてください。
監修:中康二(オプティマ・ソリューションズ株式会社)
オプティマ・ソリューションズでは、Pマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからPマークを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
