事業者が保有する個人情報に対するセキュリティ対策を要求しているのが「3.4.3.2 安全管理措置」です。
セキュリティ対策をとる
事業者が保有する個人情報に対するセキュリティ対策を要求しているのが「3.4.3.2 安全管理措置」で、事業者が個人情報のリスクに応じて、個人情報の安全管理のために必要、かつ適切な措置を講じることを求めています。
これは、あくまで保有する個人情報のリスクに応じて、技術的、物理的及び人的対策などのセキュリティ対策を行うことを求めたものであって、Pマークの認証取得企業に対して、全て同じセキュリティ対策を求めているのではありません。
安全管理のために「必要な措置」とは
安全管理措置を検討する際には、事業者にとって「必要な措置」と「適切な措置」に分けて考えるとよいでしょう。
「必要な措置」とは、事業者がその個人情報を取り扱うにあたって、必ず行うべき措置といえます。
事業者の外部、例えば個人情報保護法を始め、本規格「3.3.2 法令、国が定める指針その他の規範」で特定した規範(経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」や当該事業者を所管する監督官庁が作成したガイドラインや指針、業界団体のガイドライン)などにより求められる安全対策を行う必要があります。
また、事業者自身が必要と定める措置も実施する必要があります。
安全管理のために「適切な措置」とは
個人情報保護のためのセキュリティ対策は、さまざまな手段が考えられます。
例えば、入退管理の方法ひとつをとってみても、受付を設置する、ガードマンを配置するといったものから、入退管理装置(IDカードによる認証、バイオメトリクス認証(指紋認証、指の静脈認証、瞳の虹彩認証))を利用するなど、いろいろなものがあり、それらを導入するためのコストもまちまちです。
一般的にコストの高いものほど、それを使用する利用者側の作業負担は少ないといえますが、セキュリティ対策を決定する際には、この導入コストについて無視することはできません。そして、使用し続けるために必要な維持・運用コストも考慮すべきです。
つまり、事業者が保有する個人情報のリスク(漏えい、滅失、き損など)が現実になった際に、本人が被る権利利益の侵害の大きさ、事業者に対する影響度合いから、採用するセキュリティ対策を決定するのが一般的な考え方といえます。
「JIS Q 15001:2006 解説 3.4.10」では「必要かつ適切」という意味は、「事業者が経済的に実行可能な最良の技術の適用に配慮することである」と記載しています。
そのため、事業者の事業内容や規模及び個人情報のリスクに応じて対策を講じることが重要なポイントとなり、すべての事業者が同じセキュリティ対策を導入するというものではないのです。
安全管理のために個人情報を捨てる場合は?
最近では、対象となる個人情報が存在しなければ、そのリスクというものは回避できるという考え方で、よく見受けられるセキュリティ対策が、当該個人情報を「捨てる(廃棄する・削除する)」というものがあります。
たとえば「キャンペーンの申込情報をキャンペーン終了後に廃棄する」などです。
ただし、廃棄された個人情報が第三者に流出するという事件も起きています。
そのため、個人情報を廃棄する際には当該個人情報の形態に合わせた対策、シュレッダーにかける、デガウス(消磁)する、粉砕するなどの対策を合わせて行う必要があります。
個人情報保護法との関連
個人情報保護法の第20条(安全管理措置)に相当する要求事項となるのが「3.4.3.2 安全管理措置」となり、基本的に内容についても同じものとなっています。
ただし個人情報保護法と比べて、事業者が行う安全管理措置を当該個人情報のリスクに応じて実施する旨が、本要求事項には追加されています。