39. 個人情報を安全に管理するために必要な安全管理措置

個人情報保護法が施行されて以降、企業は個人情報の取り扱いについて頭を悩ませる機会が多いと思います。個人情報保護のためには、個人情報を安全に管理することが必要です。安全管理措置について、個人情報保護法や経済産業省のガイドラインに定められていますので、まずこれらを理解しておきましょう。

ここでは、個人情報を安全に管理するために必要な安全管理措置についてご説明していきます。

プライバシーを守るため、個人情報保護の必要性が高まった

近年はIT化が進み、誰もが簡単に情報を取得することが可能になりました。それと同時に、プライバシー保護の観点から、個人情報の漏洩を防ぐ必要性も高まってきました。

20世紀の終わり頃からアメリカやヨーロッパ各国では個人情報保護の法律が制定されるようになり、日本でも平成15年5月に個人情報保護法が公布され、平成17年4月より施行されています。

企業では多くの個人情報を扱いますから、個人情報保護法にもとづき、個人情報を安全に管理しなければいけません。各企業の責任者や担当者は、どのような内容の安全管理措置を行う必要があるのかを知っておく必要があります。

個人情報保護法で事業者に要求される安全管理措置とは

個人情報保護法では、「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」と定められています(第20条)。

つまり事業者は、個人情報保護のために安全管理措置を行わなければいけないということです。

なお、この条文だけでは、安全管理措置の内容についてよく分からないと思います。そのため、経済産業省は具体的な安全管理措置の内容についてガイドラインを用意しています。

4つの観点からの安全管理措置が考えられる

経済産業省のガイドラインによると、安全管理措置は、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4つの種類に分けられます。

1.組織的安全管理措置
個人情報を安全に管理するための組織体制を整備することです。従業員の誰もが全ての個人情報にアクセスできる状態であれば、情報漏洩のリスクは当然高まります。情報漏洩を防止するためには、誰がどの情報にアクセスできるのかを明確に定めたり、安全管理を行う責任者を決めておいたりすることが有効です。また、社内規程を整備しておく必要もあるでしょう。

2.人的安全管理措置
従業員から情報漏洩しないようにするために、従業員の意識を高める必要があります。個人データの取り扱いについてしっかり教育訓練をしたり、個人情報保護のための啓発を行ったりしましょう。従業員との間に秘密保持契約を締結するという方法もあります。

3.物理的安全管理措置
個人データを保管している部屋への入退室を制限するなどして、物理的に情報漏洩を防ぐことです。鍵を設置することはもちろん、コンピュータにはパスワードを設定することを考えなければいけません。盗難防止のためには、データそのものを入口から遠くに保管することを考えた方が良いでしょう。

4.技術的安全管理措置
個人データを取り扱うシステムへのアクセスを制御したり、不正ソフトウェア対策やシステムの監視を行ったりするなど、技術的な面から個人情報の漏洩を防止することです。ウィルス対策ソフトやファイアウォール導入など、さまざまな対応が考えられます。

安全管理措置については、個人情報保護法では抽象的にしか定められていません。各企業において、個人情報の安全な管理のために具体的にどんなことをすれば良いのかは、経済産業省のガイドラインにある4つの観点を参考に考えていくようにしましょう。

マイナンバー対策に必要なログ管理とは?

マイナンバーを取り扱う際に想定される安全管理措置と、その安全管理措置に対するPC操作ログ管理システムの効果をご紹介します。≫ マイナンバー対策に必要なログ管理とは?