1. 組織的安全管理措置
(1)組織体制の整備
安全管理措置を講ずるために、以下のような組織体制を整備しております。
・個人データの取扱いに関する責任者の設置及び責任の明確化
・個人データを取り扱う従業者及びその役割の明確化
・上記の従業者が取り扱う個人データの範囲の明確化
(2)個人データの取扱いに係る規律に従った運用
個人データの取扱いに係る規律に従った運用確保のため、以下のような項目の状況確認が可能な措置を取っております。
・個人情報データベース等の利用、出力状況
・個人データが記載又は記録された書類、媒体等の持ち運び等の状況
・個人情報データベース等の削除、廃棄の状況
(3)個人データの取扱状況を確認する手段の整備
個人データの取扱状況の把握にあたり、以下のような項目を明確化しております。
・個人情報データベースの種類、名称
・責任者、取扱い部署
・利用目的
(4)漏えい等の事案に対応する体制の整備
漏えい等事案の発生時に備え、以下のような対応を行うための体制を整えております。
・事実関係の調査及び原因の究明
・影響を受ける可能性のある本人への通知
・再発防止策の検討及び決定
(5)取扱状況の把握及び安全管理措置の見直し
・個人データの取扱状況について、定期的に監査の実施をしております。
2. 人的安全管理措置
(1)従業者の教育
・定期的な研修の実施
(2)従業者の監督
・個人データについての秘密保持に関する誓約書等を従業者に提出させる。
3. 物理的安全管理措置
(1)個人データを取り扱う区域の管理
・従業者への入退室管理及び持ち込む機器等の制限
(2)機器及び電子媒体等の盗難等の防止
・個人データを取り扱う機器や個人データが記録された電子媒体、書類等は施錠できるキャビネットに保管
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
・持ち運ぶ個人データを取り扱う機器のパスワードによる保護の実施
(4)個人データの削除及び機器、電子媒体等の廃棄
・個人データが記載された書類等を廃棄する際は、シュレッダー処理等の復元不可能な手段を採用
・個人データが記録された機器、電子媒体等を廃棄する場合は、専用のデータ削除ソフトウェアの利用又は物理的な破壊等の手段を採用
4. 技術的安全管理措置
(1)アクセス制御
・個人情報データベース等を取り扱うことのできる情報システムを限定
・ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業者を限定
(2)アクセス者の識別と認証
・ユーザーID、パスワード等によりシステム利用者の識別を行う
・定期的に識別情報の登録及び使用情報を調べ、不要な識別情報は速やかに削除
(3)外部からの不正アクセス等の防止
・情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入し、不正ソフトウェアの有無を確認
・ログ等の定期的な分析により、不正アクセス等を検知
(4)情報システムの使用に伴う漏えい等の防止
・情報システムの設計時に安全性を確保し、継続的に見直しを行う
・移送する個人データについて、パスワード等による保護の実施
(5)テレワーク業務における事故防止
・テレワーク業務には、会社が支給(または会社の許可を得た)パソコン等の電子機器を使用する
・ノートパソコン等を運搬する際には、紛失・盗難防止に努める
・セキュリティが確保されていない公衆Wi-Fiは使用禁止とする