安全管理措置とは?個人情報の漏洩防止のために知っておくべき基礎知識
最終更新日:2020年12月17日
経営者には、自社の情報だけでなく従業員や取引先の個人情報を守る義務があります。
こちらでは、個人情報に関わる「安全管理措置」を解説するので、漏洩などのトラブル防止に向けて知識をつけておくようにしましょう。
また、事務作業で従業員の個人番号(マイナンバー)などの個人情報を取り扱う方は、最後に紹介する「安全管理措置の手順」をぜひ参考にしてみてください。
目次
安全管理措置とは
安全管理措置とは、「個人データを適切に管理するために事業者が果たすべき義務」のことです。
個人データの例として個人番号(マイナンバー)が挙げられますが、個人番号を社内で取り扱う際は情報が漏洩しないよう安全管理措置の手順に従う必要があります。
安全管理措置は、「組織的安全管理措置」・「人的安全管理措置」・「物理的安全管理措置」・「技術的安全管理措置」の4つに分類されており、事業者はそれぞれの内容を理解し適切な措置を講じなければいけません。
不適切な事例
下記は、事業者が安全管理措置を適切に行っていない事例です。
公開すべきでない個人データがWeb上に公開され、不特定多数の人が閲覧できる状態であるにも関わらず事業者がその状況を放置している事例
事業者が個人データへのアクセス制限対策を怠っていたことで、以前まで部署に所属していた従業員が未だに個人データへアクセスしていた。その結果、個人情報が漏洩した事例
従業員が会社の規定を無視し、個人データを含むPCを外部へ持ち出した。事業者はその状況に気づいていながらも放置しており、その結果PCが盗難に遭い個人データが漏洩した事例
事業者は自身が個人データの管理に気を配ることはもちろん、従業員が個人データを適切に取り扱うよう監督する必要があります。
組織的安全管理措置
組織的安全管理措置とは、従業員が正しく安全管理を行えるよう組織を整備することです。
事業者は個人データを取り扱う従業員の責任範囲を明確にするのに加えて、組織が従うべき安全管理措置の規律やマニュアルを策定します。
また、実際に漏洩などの問題が起こったときの対応について、組織としてどのような行動を取るべきか事前に従業員と共有しておくことも大切です。
講じなければならない措置
組織的安全管理措置では、下記5つの義務を果たす必要があります。
組織体制の整備
事業者は、安全管理を適切に行うための組織体制を整備することが必要です。
具体的には組織全体の責任者を決めたり、個人データごとに担当者を分けたりなど責任の所在を明確にします。
また、従業員が触れても良い個人情報の範囲を明確に定め、業務に不要な個人情報へは触れさせないよう対策することも大切です。
その他、規律違反や情報漏洩をしている従業員を発見した際、どういったルートで事業者に報告するのか連絡体制についても整備しておかなければいけません。
個人データの取扱いに係る規律に従った運用
事業者は、規律やマニュアルに則って個人データを取り扱うよう従業員へ促し、適正に運用されているかどうか実施状況を把握する必要があります。
例えば、個人データが記載される書類を使用した後は社内日誌に使用者の名前と日時を書くなど、誰がいつ何の目的で個人データを利用したのかが分かるルールづくりが大切です。
個人データを電子サーバー上で管理している場合は、誰がログインしたのか把握できるようログイン実績が分かるシステムを導入するのも良いでしょう。
個人データの取扱状況を確認する手段の整備
個人データをいつ誰が利用したのか、取り扱い状況をすぐに把握できる手段を整備します。
取り扱い状況の確認手段を整える方法としては、個人データの責任者や担当者を事前に社内で共有しておくことが挙げられます。
責任者や担当者を社内で共有することで、何かあったときに「この人に聞けば個人データの取り扱い状況がすぐに分かる」という状況をつくれます。
漏えい等の事案に対応する体制の整備
情報の漏洩や消滅など、トラブル時の対処方法について事業者は事前に決めておかなければいけません。
個人データが漏洩された本人へは誰が連絡するのか、どのタイミングで個人情報保護委員会へ報告するのかなど、情報漏洩が起こったときのことを想定しながら実際の流れを考えるようにしましょう。
取扱状況の把握及び安全管理措置の見直し
社内で情報漏洩などの問題が起きていないか、事業者は個人データの取り扱い状況を定期的に確認する必要があります。
できれば責任者が1人で確認作業を行うのではなく、他部署や外部の監査委員会と連携を取りながら複数人で行うことが望ましいです。
問題が起きていることが判明すれば、今までの安全管理措置の方法を見直し、新たな規律やマニュアルを作成するようにしてください。
人的安全管理措置
人的安全管理措置とは、従業員が個人データを適切に取り扱い管理できるよう訓練をすることです。
事業者は従業員に対して情報を漏洩しないよう注意を促したり、秘密保持についての知識をつけさせたりします。
講じなければならない措置
人的安全管理措置では、個人データの適切な管理方法を従業員へ理解してもらうために定期的な研修を行うことが求められています。
さらに秘密保持に関する内容を就業規則に盛り込むなど、従業員が日頃から個人データの取り扱いに配慮するよう意識付けすることも大切です。
また従業員への周知を徹底するだけでなく、事業者は従業員の個人データの取り扱いに問題がないかどうかを監督しなければいけません。
物理的安全管理措置
物理的安全管理措置は、個人データを取り扱うPCの管理区域やPCの盗難防止策などに関する決まりです。
他者からPC画面をのぞき見されないような工夫をしたり、オフィスを離れるときはPCとデスクをワイヤーで繋いだりなど、個人データを物理的に守る対策案を練ります。
講じなければならない措置
物理的安全管理措置では、下記4つの義務を果たす必要があります。
個人データを取り扱う区域の管理
個人データを取り扱う部署に入室する際、ICカードやナンバーキーの入力を必須とするのも物理的安全管理措置の一つです。
また、社員同士の座席間にパーティションを置いたり、座席の間隔を広めに設けたりなど、PC画面をのぞき見できない状況を作るのも個人データを守る効果的な方法でしょう。
機器及び電子媒体等の盗難等の防止
個人データが含まれる書類やUSBメモリは、施錠できるデスクに保管するなどの措置が求められます。
また、個人データを管理しているPCが盗難に遭わないよう、PCとデスクをセキュリティワイヤーで繋ぐといった方法を採用している会社も少なくありません。
電子媒体等を持ち運ぶ場合の漏えい等の防止
個人データが入った電子媒体を持ち運ぶ場合、データの漏洩が起こらない安全な方法を採用しなければいけません。
具体的には、PCにパスワードを設定すること、書類はそのまま持ち運ばず封筒で閉じた後さらに鞄に入れることなどが挙げられます。
また、この「持ち運ぶ」には部署間の移動も含まれるため、たとえ社内であっても個人データの管理は手を抜かないようにしてください。
個人データの削除及び機器、電子媒体等の廃棄
不要になった個人データは、シュレッダーや焼却など復元不可能な方法で破棄する必要があります。
書類ではなく電子データで管理している場合は、データ削除ソフトウェアを利用するなど簡単に復元できない削除方法を選択するようにしましょう。
そして個人データを削除した後は、本当にデータが復元できないかどうかを事業者や責任ある担当者が確認しなければいけません。
技術的安全管理措置
技術的安全管理措置とは、PCのような電子機器で個人データを管理する際に講じなければいけない措置のことです。
外部からの不正アクセスを防止するための措置も含まれるため、事業者はセキュリティ対策ソフトやOSのアップデートなどITの知識もつけておくようにしましょう。
講じなければならない措置
技術的安全管理措置では、下記4つの義務を果たす必要があります。
アクセス制御
複数の電子媒体を使って個人データを管理すると、どこかで情報が漏れてしまうリスクが高まります。
そのため、個人データにアクセスできるPCや従業員を限定するなどの対策が必要です。
また、担当者以外の従業員が個人データにアクセスする場合は、閲覧できる情報の範囲を限定することで情報漏洩のリスクを下げられます。
アクセス者の識別と認証
個人データへアクセスする際、ユーザーIDやパスワードの入力を必須とすることで一部の従業員しかアクセスできないようにします。
また、ユーザーIDとパスワードを知っている従業員は、他の従業員へ詳細を教えないよう事業者から念を押しておくことが大切です。
外部からの不正アクセス等の防止
外部から不正アクセスをされないよう、事業者はあらかじめ社内PCへウイルス対策ソフトを導入しておく必要があります。
またPCを常に安全な状況に保つために、OSを最新版へ更新するよう従業員へ促すことも忘れないようにしましょう。
情報システムの使用に伴う漏えい等の防止
メールやチャットなどの情報システムを利用する際、個人データが漏洩しないようなシステムを取り入れます。
例えば、メールで送られたファイルを開く際はパスワード入力が必須など、従業員のケアレスミスによる個人データの漏洩を防ぎます。
安全管理措置の手順
こちらでは、安全管理措置を講じる際の手順を紹介します。
特に源泉徴収票の作成などで従業員の個人番号を利用する際は、情報が漏洩しないよう下記の手順を取り入れるようにしましょう。
1. 個人番号取り扱い事務の範囲を明確にする
個人番号を利用してできる事務作業は、源泉徴収票や社会保障書類の作成など種類が限られています。
事務作業で個人番号を使う機会が増えれば情報漏洩のリスクも高まるので、個人番号を使う機会は最小限に抑えるよう共有することが大切です。
そのためにはまず、従業員に「個人番号が必要となる事務作業は何なのか」を説明し、理解してもらうようにしましょう。
2. 特定個人情報の範囲を明確にする
特定個人情報とは、個人情報よりも厳格に保護される情報のことです。
個人番号には、氏名や性別、生年月日、住所などさまざまな特定個人情報が含まれています。
特定個人情報は厳重に保護される情報であり、たとえ本人の許可があったからといって利用目的を超えた利用はしてはいけないと定められています。
そのため特定個人情報を扱う事業者や担当者は、「個人番号に含まれる情報のうち、事務作業に必要な情報はどこまでなのか」を理解するようにしましょう。
3. 事務取扱担当者を明確にする
上記2つを明確にした後は、実際に事務作業を行う担当者を明確にします。
会社によっては、担当者と責任者を分けるのも良いでしょう。
担当者を明確にすることで責任感が生まれるのに加えて、他の関係ない従業員が個人番号を取り扱えなくなるため情報漏洩のリスクを下げることが可能です。
4. 基本方針を策定する
組織として個人情報を保護するために、事業者は基本方針を策定し従業員へ共有する必要があります。
個人情報保護委員会の『特定個人情報の適正な取扱いに関するガイドライン』によると、基本方針の例として具体的に下記を挙げています。
- 事業者の名称
- 関係法令・ガイドライン等の遵守
- 安全管理措置に関する事項
- 質問及び苦情処理の窓口 等
ただし、上記はガイドライン上の参考例のため、ほかにも必要だと感じる項目がある場合は追加するようにしましょう。
5. 取扱規程を策定する
上記1~3で明確にした内容を元に、取扱規程を策定します。
例えば源泉徴収票の作成における取扱規程を策定するのであれば、従業員から集めた書類をまとめる方法や法定保存期間を超えた書類の破棄方法などを取扱規程に含むのが良いでしょう。
取扱規程を策定する際は、まず書類の収集・利用・破棄などに管理段階を分け、それぞれの段階ごとに安全管理措置の内容を盛り込むことがポイントです。
参照:個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン」
安全管理措置を理解し従業員や取引先の個人情報を守ろう
事業を運営する経営者は、従業員や取引先の個人情報に気を配る必要があります。
特に個人番号は源泉徴収票の作成などで必要となるため、個人情報が漏れないよう適切に管理しましょう。
これからフランチャイズや個人で事業を始める予定の方は、社内の安全管理措置を検討する際に今回の記事をぜひ参考にしてみてください。
公開日:2020年12月11日
