5-8.顧客名簿やカルテの管理について(2) |
|
|
本節では、「組織的」「人的」「物理的」及び「技術的」な安全管理措置の内容についてみていきます。
《3:組織的安全管理措置について》
組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいいます。
○組織的安全管理措置として講じなければならない事項
- 個人データの安全管理措置を講じるための組織体制の整備
(個人情報保護管理者・監督責任者の設置など)
- 個人データの安全管理措置を定める規程(マニュアル)等の整備と、規程等に従った運用の徹底
- 個人データの取扱い状況を一覧できる手段(個人データ取扱台帳)の整備
- 個人データの安全管理措置の評価、見直し及び改善
- 事故又は違反への対処
《4:人的安全管理措置について》
人的安全管理措置とは、従業者に対して、業務上秘密と指定された個人データを開示しない契約を締結することや、個人データの取扱についての教育・訓練等を行うことをいいます。
○人的安全管理措置として講じなければならない事項
- 雇用契約時及び委託契約時における個人データの非開示契約の締結
- 個人データの安全管理に関する、従業者に対しての教育・訓練の実施
なお、たとえ個人データを取り扱う担当者でなくても、個人データを保有する建物等に出入りする可能性がある者(警備員・清掃員など)については、個人データの扱いについての項目を契約書等に明記することが望ましいとされています。
《5:物的安全管理措置について》
物理的安全管理措置とは、入退室の管理、個人データの盗難の防止等の措置をいいます。
○物理的安全管理措置として講じなければならない事項
- 個人データを保管するパソコン等の設置された部屋への入退出管理の実施
- 個人データを記した書類、CDなどの放置禁止など、個人データの盗難等の防止
- 機器・装置等を、盗難、破壊、漏水、火災などから物理的に保護する措置
《6:技術的安全管理措置について》
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムヘのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいいます。
○技術的安全管理措置として講じなければならない事項
- 個人データヘのアクセスにおける識別と認証
- 個人データヘのアクセス制御
- 個人データヘのアクセス権限の管理
- 個人データのアクセスの記録
- 個人データを取り扱う情報システムについての不正ソフトウェア対策
- 個人データの移送(運搬・郵送・宅配)・送信時の対策
- 個人データを取り扱う情報システムの動作確認時の対策
- 個人データを取り扱う情報システムの監視
次節では、従業員や委託先についての、個人情報保護のための監督責任について見ていきます。
|
|
|
|
