事業者が保有する個人データの適正な管理に関する要求事項を規定しているのが、「3.4.3 適正管理」です。
個人データに関する「正確性の確保」「安全管理措置」「従業者の監督」及び「委託先の監督」の四つの要求事項で構成されています。
個人データのセキュリティ対策は?
個人データのセキュリティ対策に関連する要求事項を規定しているのが「3.4.3 適正管理」であり、以下の要素で構成されています。
- 3.4.3.1 正確性の確保
- 3.4.3.2 安全管理措置
- 3.4.3.3 従業者の監督
- 3.4.3.4 委託先の監督
1.正確性の確保
事業者が保有する個人データの最新版管理及び、適切な更新管理を要求したものが「3.4.3.1 正確性の確保」です。
すなわち、個人データの正確性に関わる適正管理を実現するための要求事項で、個人情報データベースもこれに含まれます。
2.安全管理措置
取り扱う個人情報のリスクに応じた必要かつ適切なセキュリティ対策を要求したものが「3.4.3.2 安全管理措置」です。
後ほど詳しく述べますが、個人情報保護法をはじめとする法的な要求事項などが求める対策のことを一般的に必要な対策といい、適切な対策とは事業者が保有する個人情報に関するリスクに応じて事業者が採用するセキュリティ対策のことをいいます。
3.従業者の監督
個人情報の安全管理を確実に実現するために、個人情報を取り扱っているすべての従業者に対して、必要かつ適切な監督を求めています。
なお、個人情報の取り扱いプロセスにおいて、事業者が「指示」「監視」及び「指導」することを、監督すること、といいます。
4.委託先の監督
個人情報の取り扱いの全部または一部を委託する場合の事前評価、委託中の管理及び、契約に関する要求を規定しているのが「3.4.3.4 委託先の監督」です。
すなわち、十分な個人情報の保護レベルを満たしている者を選択することが、適切な保護が必要な個人情報の取り扱いを外部に委託する場合においては重要なことであると規格では解説しています。