安全管理措置SAFETY MANAGEMENT

1. 組織体制の整備

個人情報の取り扱いに伴い、以下の組織体制の下、運用を実施する。

• 個人データの取扱いに関する責任者の設置及び責任の明確化。
• 個人データを取り扱う従業者及びその役割の明確化。
• 個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告及び連絡体制の整備。

2. 個人データの取扱いに係る運用

個人情報の取り扱いの運用について以下の規律に従って運用を実施する。

• 個人情報データベース等の利用・出力状況の確認。
• 個人情報データベース等の削除。
• 廃棄の状況（委託した場合 の消去・廃棄を証明する記録を含む。）の確認。

3. 情報漏えい等事案に対応する体制の整備

すべての従業員等が情報の漏えいの発生または兆候を把握した場合またはその可能性が高い判断した場合は、速やかに取扱責任者に報告し、以下の手法等により対策を講じるものとする。

• 事実関係の調査及び原因の究明。
• 影響を受ける可能性のある本人への通知。
• 個人情報保護委員会等への報告。
• 再発防止策の検討及び決定。
• 事実関係及び再発防止策等の公表。

4. 取扱状況の把握及び安全管理措置の見直し

個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善のために個人情報等の取扱状況について、必要に応じて点検を行うものとする。取扱責任者は、その判断により外部機関による監査を実施することができる。

人的安全管理措置

1. 秘密保持

個人情報等に関する秘密を保持するため、取り扱う全従業員に対し秘密保持の契約を締結し運用にあたる。

物理的安全管理措置

1. 機器及び電子媒体等の盗難等の防止

個人情報ファイルは、パスワードを付与する等の保護措置を講じたうえでこれを保存し、当該パスワードを適切に管理する。

2. 個人データの削除及び機器、電子媒体の破棄

個人情報等を廃棄又は削除する場合、以下の方法により実施する。

• 個人データが記載された書類等を廃棄する場合は焼却、溶解、適切なシュレッダー処理等の復元不可能な手段を採用する。
• 個人情報等が記録された機器及び電子媒体等を廃棄する場合は専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段にて実施する。
• 個人情報ファイル中の個人番号又は一部の個人情報等を削除する場合、容易に復元できない手段にて実施する。

技術的安全管理措置

1. アクセス制御

個人情報取扱担当者及が取り扱う特定個人情報ファイルの範囲を限定するために以下の措置に沿って適切なアクセス制御を行うものとする。

• 特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定する。

2. アクセス者の識別と認証

個人情報等を取り扱う情報システムは、取扱担当者が正当なアクセス権を有する者であることを、以下の措置等によって識別した結果に基づき認証するものとする。

• 取扱担当者の識別方法としては、ユーザーID、パスワード、IPアドレスにより識別と認証を行う。

3. 外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するために以下の仕組みを導入し、適切に運用するものとする。

• 情報システムと外部ネットワークとの接続箇所にファイアウォール設置等の対策を講じ、不正アクセスを遮断する。
• ログ等の定期的な分析により、不正アクセス等を検知する。

以上