個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のための必要かつ適切な措置を講じなければならない。
個人情報保護法 第20条
出題パターン
安全管理措置義務の違反にあたるかどうか
出題パターンの第1は、具体的事例が安全管理措置義務違反になるかどうかを判断させるものです。
取得したつもりのバックアップがとれていなかった場合でも義務違反になるか、とか委託業務に不必要な個人データを委託先に渡し漏えいした場合はどうか、など常識で判断して正解できると思います。
迷う場合は他の問題肢との比較まずそうなものを義務違反とすればいいでしょう。
安全管理措置の分類
出題パターンの第2は、具体的な措置とその分類を選択させるものです。例えば物理的安全管理措置としてふさわしくないものはどれか?などです。個人情報保護委員会が提示したガイドラインに沿って勉強するのがいいのですが、全部読むのは時間がかかるので、要点をピックアップしました。
組織的安全管理措置
組織的安全管理措置とは管理体制の話です。下記の事柄等を規定します。
- 個人データの取扱に関する責任者の設置と責任の明確化
- 個人データを取り扱う従業者とその役割の明確化
- 従業者が取り扱う個人データの範囲の明確化
- 個人情報データベースの出力状況の記録(監督のため必要)
- 事故または違反への対処
- 個人データ取扱状況の定期的な点検
人的安全管理措置
人的安全管理措置とは従業者の教育と契約の話です。
この「従業者」という概念は「従業員」より広く、役員や非正規職員を含みます。業務に関係する者、くらいのイメージでいいです。
- 研修を実施する
- 秘密保持契約を締結する
物理的安全管理措置
物理的安全管理措置とは個人データの盗難・紛失防止の話です。
- 入退室管理、持ち込み機器の制限
- 個人データ記録媒体や書類の施錠保管
- セキュリティワイヤーによる機器の固定
- 持ち運ぶデータの暗号化
- 焼却、シュレッダーなどによる適切な廃棄
技術的安全管理措置
技術的安全管理措置とは情報システムに対する不正アクセス防止やコンピュータウイルスの話です。ハッカー対策とすれば簡単でしょうか。
- 個人情報データベースへのアクセス制御
- 外部ネットワークとの境界にファイヤーウォールを設置
- 通信経路や個人データの暗号化
まとめ
この措置は組織的安全管理措置?それとも技術的安全管理措置?などと迷うことがあるかもしれません。
そういときはその措置の目的を考えてみてください。
管理体制なのか教育なのか盗難・紛失防止なのかハッカー対策なのか冷静に判断しましょう。