安全管理措置

Links †

• 経済産業省
  • 個人情報保護
    • 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

個人情報の保護に関する法律−構成 †

• 第一章　総則
• 第二章　国及び地方公共団体の責務等
• 第三章　個人情報の保護に関する施策等
• 第四章　個人情報取扱事業者の義務等
• 第一節　個人情報取扱事業者の義務
  • 利用目的の特定（第十五条）
  • 利用目的による制限（第十六条）
  • 適正な取得（第十七条）
  • 取得に際しての利用目的の通知等（第十八条）
  • データ内容の正確性の確保（第十九条）
  • 安全管理措置（第二十条）
  • 従業者の監督（第二十一条）
  • 委託先の監督（第二十二条）
  • 第三者提供の制限（第二十三条）
  • 〜
• 第五章　雑則
• 第六章　罰則

安全管理措置（第二十条） †

　個人情報保護法では、個人情報取扱事業者の義務として、以下のように安全管理措置について述べています。

• 第二十条（安全管理措置） 　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
• 経済産業省のガイドライン 　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的な安全管理措置を講じなければならない（電話帳、カーナビゲーションシステム等の取扱いについての場合を除く。）。

組織的安全管理措置 †

　組織的安全管理とは、安全管理について従業者（法第21条参照）の責任と権限を明確に定め、安全管理に対する規程や手順書（以下「規程等」という。）を整備運用し、その実施状況を確認することをいう。

• 【組織的安全管理措置として講じなければならない事項】
  • （1）個人データの安全管理措置を講じるための組織体制の整備
  • （2）個人データの安全管理措置を定める規程等の整備と規程等に従った運用
  • （3）個人データの取扱い状況を一覧できる手段の整備
  • （4）個人データの安全管理措置の評価、見直し及び改善
  • （5）事故又は違反への対処

人的安全管理措置 †

　人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

• 【人的安全管理措置として講じなければならない事項】
  • （1）雇用契約時及び委託契約時における非開示契約の締結
  • （2）従業者に対する教育・訓練の実施

物理的安全管理措置 †

　物理的安全管理措置とは、入退館（室）の管理、個人データの盗難の防止等の措置をいう。

• 【物理的安全管理措置として講じなければならない事項】
  • （1）入退館（室）管理の実施
  • （2）盗難等の防止
  • （3）機器・装置等の物理的な保護

技術的安全管理措置 †

　技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。

• 【技術的安全管理措置として講じなければならない事項】
  • （1）個人データへのアクセスにおける識別と認証
  • （2）個人データへのアクセス制御
  • （3）個人データへのアクセス権限の管理
  • （4）個人データのアクセスの記録
  • （5）個人データを取り扱う情報システムについての不正ソフトウェア対策
  • （6）個人データの移送・送信時の対策
  • （7）個人データを取り扱う情報システムの動作確認時の対策
  • （8）個人データを取り扱う情報システムの監視

安全管理措置−実践例− †

【組織的安全管理措置】 †

1. 「個人データの安全管理措置を講じるための組織体制の整備」
   • 従業者の役割・責任の明確化
     • 個人データの安全管理に関する従業者の役割・責任を職務分掌規程、職務権限規程等の内部規程、契約書、職務記述書等に具体的に定める。
   • 個人データの安全管理の実施及び運用に関する責任及び権限を有する者として、個人情報保護管理者（いわゆる、チーフ・プライバシー・オフィサー（ＣＰＯ））を設置し、原則として、役員を任命する。
   • 個人データの取扱いを総括する部署の設置、及び個人情報保護管理者（ＣＰＯ）が責任者となり、社内の個人データの取扱いを監督する｢管理委員会｣の設置。
   • 個人データの取扱い（取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等の作業）における作業責任者の設置及び作業担当者の限定。
   • 個人データを取り扱う情報システム運用責任者の設置及び担当者（システム管理者を含む。）の限定。
   • 個人データの取扱いにかかわるそれぞれの部署の役割と責任の明確化。
   • 監査責任者の設置。
   • 個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知 見を有する者が社内の対応を確認すること（必要に応じ、外部の知見を有する者を活用し確認することを含む）などによる、監査実施体制の整備
   • 個人データの取扱いに関する規程等に違反している事実又は兆候があることに気づいた場合の、代表者等への報告連絡体制の整備
   • 個人データの漏えい等（漏えい、滅失又はき損）の事故が発生した場合、又は発生の可能性が高いと判断した場合の、代表者等への報告連絡体制の整備
     • 個人データの漏えい等についての情報は代表窓口、苦情処理窓口を通じ、外部からもたらされる場合もあるため、苦情の処理体制等との連携を図る（法第３１条を参照）。
   • 漏えい等の事故による影響を受ける可能性のある本人への情報提供体制の整備
   • 漏えい等の事故発生時における主務大臣及び認定個人情報保護団体等に対する報告体制の整備
2. 「個人データの安全管理措置を定める規程等の整備と規程等に従った運用」
   • 個人データの取扱いに関する規程等の整備とそれらに従った運用
   • 個人データを取り扱う情報システムの安全管理措置に関する規程等の整備とそれらに従った運用
     • なお、これらについてのより詳細な記載事項については、下記の【個人データの取扱いに関する規程等】を参照。
   • 個人データの取扱いに係る建物、部屋、保管庫等の安全管理に関する規程等の整備とそれらに従った運用
   • 個人データの取扱いを委託する場合における委託先の選定基準、委託契約書のひな型、委託先における委託した個人データの取扱状況を確認するためのチェックリスト等の整備とそれらに従った運用
   • 定められた規程等に従って業務手続が適切に行われたことを示す監査証跡の保持
     • 保持しておくことが望まれる監査証跡としては、個人データに関する情報システム利用申請書、ある従業者に特別な権限を付与するための権限付与申請書、情報システム上の利用者とその権限の一覧表、建物等への入退館（室）記録、個人データへのアクセスの記録（例えば、だれがどのような操作を行ったかの記録）、教育受講者一覧表等が考えられる。
3. 「個人データの取扱い状況を一覧できる手段の整備」
   • 個人データについて、取得する項目、明示・公表等を行った利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限、その他個人データの適正な取扱いに必要な情報を記した個人データ取扱台帳の整備
   • 個人データ取扱台帳の内容の定期的な確認による最新状態の維持
4. 「個人データの安全管理措置の評価、見直し及び改善」
   • 監査計画の立案と、計画に基づく監査（内部監査又は外部監査）の実施
   • 監査実施結果の取りまとめと、代表者への報告
   • 監査責任者から受ける監査報告、個人データに対する社会通念の変化及び情報技術の進歩に応じた定期的な安全管理措置の見直し及び改善
5. 「事故又は違反への対処」
   • (ア)事実調査、原因の究明
   • (イ)影響範囲の特定
   • (ウ)再発防止策の検討・実施
   • (エ)影響を受ける可能性のある本人への連絡
   • (オ)主務大臣等への報告
   • (カ)事実関係、再発防止策等の公表

【人的安全管理措置】 †

1. 「雇用契約時における従事者との非開示契約の締結、及び委託契約時等（派遣契約を含む。）における委託元と委託先間での非開示契約の締結」
   • 従業者の採用時又は委託契約時における非開示契約の締結
     • 雇用契約又は委託契約等における非開示条項は、契約終了後も一定期間有効であるようにする。
     • 個人情報に関する非開示の義務を、就業規則等の社内規程に規定することも考えられる。なお、社内規程に個人情報に関する非開示の義務を規定する場合には、特に、労働基準法第８９条及び第９０条などの労働関連法規を遵守する必要がある。
     • 個人情報に関する非開示契約の締結の際に、営業秘密を対象とする秘密保持契約をあわせて締結する場合であっても、個人情報保護と営業秘密の保護はその目的・範囲等が異なるため、従業者の「納得感」の向上の観点からは、個人情報保護に関する契約と営業秘密に関する秘密保持契約は峻別する（別書面であるか否かは問わない）。
   • 非開示契約に違反した場合の措置に関する規程の整備
     • 個人データを取り扱う従業者ではないが、個人データを保有する建物等に立ち入る可能性がある者、個人データを取り扱う情報システムにアクセスする可能性がある者についてもアクセス可能な関係者の範囲及びアクセス条件について契約書等に明記することが望ましい。なお、個人データを取り扱う従業者以外の者には、情報システムの開発・保守関係者、清掃担当者、警備員等が含まれる。
2. 「従業者に対する内部規程等の周知・教育・訓練」
   • 個人データ及び情報システムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知
   • 個人データ及び情報システムの安全管理に関する従業者の役割及び責任についての教育・訓練の実施
   • 従業者に対する必要かつ適切な教育・訓練が実施されていることの確認

【物理的安全管理措置】 †

1. 「入退館（室）管理」
   • 入退館（室）の記録
   • 個人データを取り扱う業務の、入退館（室）管理を実施している物理的に保護された室内での実施
   • 個人データを取り扱う情報システム等の、入退館（室）管理を実施している物理的に保護された室内等への設置
2. 「盗難等の防止」
   • 個人データを記した書類、媒体、携帯可能なコンピュータ等の机上及び車内等への放置の禁止
   • 離席時のパスワード付きスクリーンセイバ等の起動によるのぞき見等の防止
   • 個人データを含む媒体の施錠保管
   • 氏名、住所、メールアドレス等を記載した個人データとそれ以外の個人データの分離保管
   • 個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止
   • 入退館（室）の際における業務上許可を得ていない記録機能を持つ媒体及び機器の持ち込み及び持ち出しの禁止と検査の実施
   • カメラによる撮影や作業への立ち会い等による記録又はモニタリングの実施
3. 「機器・装置等の物理的な保護」
   • 個人データを取り扱う機器・装置等の、安全管理上の脅威（例えば、盗難、破壊、破損）や環境上の脅威（例えば、漏水、火災、停電）からの物理的な保護

【技術的安全管理措置】 †

1. 「個人データへのアクセスにおける識別と認証」
   • 個人データに対する正当なアクセスであることを確認するために正当なアクセス権限を有する者であることの識別と認証（例えば、IDとパスワードによる認証、ワンタイムパスワードによる認証、物理的に所持が必要な認証デバイス（ＩＣカード等）による認証、生体認証等）の実施
     • 識別と認証においては、複数の手法を組み合わせて実現する。
     • IDとパスワードを利用する場合には、パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗したIDを停止する等の措置を講じる。
   • 生体認証を利用する場合には、当該識別と認証の方法を実施するために必要な情報（例えば、指紋、静脈）が、特定の個人を識別することができることから、個人情報に該当する場合があることに留意する。
   • 個人データへのアクセス権限を有する者が使用できる端末又はアドレス等の識別と認証（例えば、MACアドレス認証、IPアドレス認証、電子証明書等）の実施
2. 「個人データへのアクセス制御」
   • 個人データへのアクセス権限を付与すべき者の最小化
   • 識別に基づいたアクセス制御（パスワード設定をしたファイルがだれでもアクセスできる状態は、アクセス制御はされているが、識別がされていないことになる。このような場合には、パスワードを知っている者が特定され、かつ、アクセスを許可する者に変更があるたびに、適切にパスワードを変更する必要がある。）の実施
   • アクセス権限を有する者に付与する権限の最小化
   • 個人データを格納した情報システムへの同時利用者数の制限
   • 個人データを格納した情報システムの利用時間の制限（例えば、休業日や業務時間外等の時間帯には情報システムにアクセスできないようにする等）
   • 個人データを格納した情報システムへの無権限アクセスからの保護（例えば、ファイアウォール、ルータ等の設定）
     • 個人データを格納するためのデータベースを構成要素に含む情報システムを構築する場合には、当該情報システム自体へのアクセス制御に加えて、情報システムの構成要素であるデータベースへのアクセス制御を別に実施し、それぞれにアクセス権限を設定する。
     • アクセス権限の設定を情報システム全体と別に実施する場合にあっては、無権限アクセスからの保護に係る機器等の設定として、特に不要アカウントの無効化や初期設定されている標準アカウントのパスワード変更を実施する。
   • 個人データにアクセス可能なアプリケーションの無権限利用の防止（例えば、アプリケーションシステムに認証システムを実装する、業務上必要となる者が利用するコンピュータのみに必要なアプリケーションシステムをインストールする、業務上必要な機能のみメニューに表示させる等）
     • 情報システムの特権ユーザーであっても、情報システムの管理上個人データの内容を知らなくてもよいのであれば、個人データへ直接アクセスできないようにアクセス制御をする。
     • 特権ユーザーに対するアクセス制御については、例えば、トラステッドＯＳやセキュアＯＳ、アクセス制御機能を実現する製品等を利用する。
   • 個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証（例えば、ＯＳ・ウェブアプリケーションのぜい弱性有無の検証）
3. 「個人データへのアクセス権限の管理」
   • 個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施（例えば、定期的に個人データにアクセスする者の登録を行う作業担当者が適当であることを十分に審査し、その者だけが、登録等の作業を行えるようにする。）
     • 個人データにアクセスできる者を許可する権限については、情報システム内において当該権限を含む管理者権限を分割する等して、不正利用を防止する。
   • 個人データを取り扱う情報システムへの必要最小限のアクセス制御の実施
4. 「個人データへのアクセスの記録」
   • 個人データへのアクセスや操作の成功と失敗の記録及び不正が疑われる異常な記録の存否の定期的な確認
     • 個人データへのアクセスや操作の成功と失敗の記録については、情報システムを構成する各システムへのアクセスや操作の成功と失敗等の記録を組み合わせ、各個人データへのアクセスや操作の失敗を全体として記録する。
   • 採取した記録の漏えい、滅失及びき損からの適切な保護
     • 採取した記録を漏えい、滅失及びき損から保護するためには、当該記録を適切に管理された外部記録媒体ないしログ収集用のサーバ等に速やかに移動する。
     • システム管理者等の特権ユーザーのアクセス権限を用いても、採取した記録を改ざん・不正消去できないよう、対策する。
     • 個人データを取り扱う情報システムの記録が個人情報に該当する場合があることに留意する。
5. 「個人データを取り扱う情報システムについて不正ソフトウェア対策」
   • ウイルス対策ソフトウェアの導入及び当該ソフトウェアの有効性・安定性の確認（例えば、パターンファイルや修正ソフトウェアの更新の確認）
   • 端末及びサーバ等のオペレーティングシステム（ＯＳ）、ミドルウェア（ＤＢＭＳ等）、アプリケーション等に対するセキュリティ対策用修正ソフトウェア（いわゆる、セキュリティパッチ）の適用
   • 組織で許可していないソフトウェアの導入防止のための対策
6. 「個人データの移送（運搬、郵送、宅配便等）・送信時の対策」
   • 個人データの移送時における紛失・盗難に備えるための対策（例えば、媒体に保管されている個人データの暗号化等の秘匿化）
   • 盗聴される可能性のあるネットワーク（例えば、インターネットや無線ＬＡＮ等）による個人データの送信（例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等）時における、個人データの暗号化等の秘匿化（例えば、ＳＳＬ、Ｓ／ＭＩＭＥ等）
     • 暗号を利用する場合には、復号に必要な鍵についても十分注意して管理する必要がある。
7. 「個人データを取り扱う情報システムの動作確認時の対策」
   • 情報システムの動作確認時のテストデータとして個人データを利用することの禁止（正確な動作確認を要する等、個人データの利用が不可欠な場合であっても、動作確認に影響のない範囲で、個人データの一部を他のデータに置き換える等の措置を講じる。）
   • 情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないことの検証
8. 「個人データを取り扱う情報システムの監視」
   • 個人データを取り扱う情報システムの使用状況の定期的な監視
   • 個人データへのアクセス状況（操作内容も含む。）の監視
     • 個人データを取り扱う情報システムを監視した結果の記録が個人情報に該当する場合があることに留意する。
     • 特権ユーザーによる個人データへのアクセス状況については、特に注意して監視する。
   • 個人データを取り扱う情報システムへの外部からのアクセス状況の監視（例えば、ＩＤＳ・ＩＰＳ等）
     • 監視システムを利用する場合には、事業者等が業務で行う送受信の実態に合わせ、当該装置について適切に設定し、定期的にその動作を確認することが必要になる。