みなさま、ご無沙汰しております。有限会社マイカのライター「秋葉けんた」です。梅雨がそろそろ来るのかなと思っています。さて今回の「分かりやすいセキュリティ用語集」は、「組織的安全管理措置」です。

【組織的安全管理措置】

前回、「安全管理措置」について解説する中で、「個人情報保護法に関する経済産業分野ガイドライン」（以下、経産省ガイドラインという）は「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全措置」という4つの安全措置を講じることを求めているとご説明しました。今回からは、それぞれの安全管理措置について見ていきたいと思います。

一つ目の「組織的安全管理措置」について、経産省ガイドラインでは「安全管理について従業者の責任と権限を明確に定め、安全管理に対する規定や手順書を整備運用し、その実施状況を確認すること」と定義しています。

具体的には、(1)個人データの安全管理措置を講じるための組織体制の整備、(2)個人データの安全管理措置を定める規程等の整備と規程等に従った運用、(3)個人データの取扱状況を一覧できる手段の整備、(4)個人データの安全管理措置の評価、見直しおよび改善、(5)事故又は違反への対処――などの5項目に細分化しています。これらを実施することで「組織的安全管理措置」を講じたことになります。実際の手法については、下記をご参照ください。

■「個人データの安全管理措置を講じるための組織体制の整備」で求められる手法の例

・個人データの安全管理に関する従業者の役割・責任を職務分掌規程、職務権限規程などの内部規定や契約書、職務記述書などに具体的に定める ・個人情報保護管理者を設置する ・個人データの取り扱いを総括する部署や個人データの取り扱いを監督する｢管理委員会｣を設置する ・作業責任者を設置する ・作業担当者を限定する ・監査責任者を設置する ・部署の役割と責任を明確化する ・情報セキュリティ対策に十分な知見を有する者が社内の対応を確認し、監査実施体制を整備する ・違反、漏えいなどに気付いた際の報告・連絡体制を整備する

■「個人データの安全管理措置を定める規程等の整備と規程等に従った運用」で求められる手法の例

・個人データの取り扱いに関する規程などの整備と運用 ・情報システムの安全管理措置に関する規程などの整備と運用 ・建物、部屋、保管庫などの安全管理に関する規程等の整備と運用 ・委託先の選定基準、委託契約書のひな型、委託先における委託した個人データの取り扱い状況を確認するためのチェックリストなどの整備と運用 ・定められた規程などに従って業務手続きが適切に行われたことを示す監査証跡の保持

■「個人データの取扱状況を一覧できる手段の整備」で求められる手法の例

・取得する項目、明示・公表などを行った利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限、そのほか個人データの適正な取り扱いに必要な情報を記した個人データ取り扱い台帳を整備する ・台帳を定期的に確認し最新状態を維持する

■「個人データの安全管理措置の評価、見直しおよび改善」で求められる手法の例

・監査計画の立案と、計画に基づく監査の実施 ・結果の取りまとめと、代表者への報告 ・監査報告や定期的な安全管理措置の見直しおよび改善

■「事故または違反への対処」で求められる手法の例

・事実調査、原因の究明 ・影響範囲の特定 ・再発防止策の検討・実施 ・影響を受ける可能性のある本人への連絡 ・主務大臣等への報告 ・事実関係、再発防止策等の公表

もちろん、ここで例示している対策は、必ず実施しなければいけないというものばかりではありません。しかし、実際、漏えい事故が起きた場合には、どれだけ対策をしていたのかが注目されることも少なくないため、1つでも多くの項目について、ある程度の対策を実施していく必要があると思います。

著：秋葉けんた（編集プロダクション「マイカ」に所属するIT専門のライター。オプティマ・ソリューションズのコンサルティングを受けて、自社内の個人情報保護体制を構築し、維持運用している。その中で「セキュリティの専門用語」を理解するのに困難を感じ、同じ課題を持つ方々への情報共有をしたいと考えて、この分かりやすい用語集を執筆している）
監修：中康二（オプティマ・ソリューションズ株式会社）