「個人情報取扱事業者」の義務(中)
「安全管理措置」は現場を再認識するチャンス
Q6.「個人情報データベース」は、「安全管理」が大事なようですが?
「個人情報データベース」への対応には、「安全管理」「従業者や委託先の監督」「本人の同意なしの第三者提供の禁止」の3つのポイントがあります。特に「安全管理」という点では、「組織的」「人的」「物理的」「技術的」にそれぞれ安全管理措置を講じる必要があり、最低限やらなければならない点について紹介します。
まず、社内にある個人データの種類ごとに、入ってくるところ、処理するところ、出て行くところなど、流れにそって、リスク分析します。データの流れは仕事の流れでもあります。経営者自身が現場を詳細に見る機会ともなるので、担当者任せにせず、現場から経営戦略を考えるチャンスとして取り組みたいものです。
次に各項目について対策をたてます。
「組織的安全管理措置」
「組織的安全管理措置」ではまず、個人データを安全に保つため、従業者(従業員、役員、派遣社員など)の責任と権限を定め、体制を確立し、規程や手順書を整備し、運用状況をチェックします。
規程には、個人データの(1)取得・入力(2)移送・送信(3)利用・加工(4)保管・バックアップ(5)消去・廃棄の流れに沿って作られることが望まれるとされ、それぞれの過程で作業責任者や手順、権限、作業確認などを明確にしておきます。
当然、形式だけでなく運用の記録やどのように個人データを扱っているかを一覧で表した取扱台帳などの整備、見直し、評価も必要です。また、事故や違反者への対処も明らかにしておきます。
「人的安全管理措置」
「人的安全管理措置」では、従業者とは雇用契約や委託契約に記述するなどして、情報を他へ開示しないことを締結します。また、各種業務において個人情報を保護するための教育をします。
「物理的安全管理措置」
「物理的安全管理措置」では、個人情報を扱う場所の入退室管理、社内であっても個人データの掲載されている書類やノートパソコンなどを放置しないなど盗難等の防止、漏水などからから機器・装置を守るなどの物理的な保護をしなければなりません。
「技術的安全管理措置」
「技術的安全管理措置」としては、個人データにアクセスする際、管理し制限すること。だれがアクセスしたかを識別し認証をかけ、そのアクセス状況を記録すること。個人情報を扱うシステムに不正ソフトウエア対策をたて、データの移送・送信、動作確認、監視を行う必要があります。
*これらの詳細については経済産業省のガイドラインを参照ください。
2005年06月10日(旧楽天のブログサイトより転記したものです)
0 件のコメント:
コメントを投稿