人的安全管理措置とは
事業者は、個人番号の適切な取り扱いのために人的安全管理措置を講ずる必要性があります。
- 事務取扱担当者の監督
- 事務取扱担当者の教育
事務取扱担当者の教育例
個人番号の取扱いに関する留意事項等について定期的な研修等の施行、特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込み周知すること。
物理的安全管理措置とは
事業者は、個人番号の適切な取り扱いのために物理的安全管理措置を講ずる必要性があります。
- 特定個人情報等を取り扱う区域の管理
- 機器及び電子媒体等の盗難等の防止
- 電子媒体を持ち出す場合の漏えい等の防止
- 個人番号の削除、機器及び電子媒体等の廃棄
特定個人情報等を取り扱う区域の管理
情報漏えい等を防止するための物理的安全管理措置として、特定個人情報ファイルの取扱いを管理する区域(管理区域)と、これを取り扱う事務を実施する区域(取扱区域)を明確にする必要があります。
- 管理区域に関する物理的安全管理措置
入退室管理及び管理区域へ持ち込む機器等の制限等
- 入退室管理の方法
ICカード、ナンバーキー等による入退室管理システムの設置等
- 取扱区域に関する物理的安全管理措置
壁又は間仕切り等の設及び座席配置の工夫等
機器及び電子媒体等の盗難等防止手段
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難紛失等を防止するための手段として、具体的には以下のような方法が考えられます。
- 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じる。
- 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
電子媒体等を持ち出す際の漏えい等防止手段
特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、漏えい等を防止する手段として、具体的には以下のような方法が考えられます。
※「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることを言う。
事業所内での移動等であっても、紛失・盗難等に注意する必要があります。
- 特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持出しデータの暗号化、パスワードによる保護、施錠できる搬送用機の使用等。ただし、行政機関等にデータで提出を行う場合には、行政機関等が指定する提出方法に従う。
- 特定個人情報等が記載された書類等を安全に持ち出す方法としては、封鍼、目隠しシールの貼付を行うこと等。
個人番号の削除、機器及び電子媒体等の廃棄の手段
事務処理の必要がなくなり、法令で定められた保存期間を経過した個人番号は速やかに削除破棄する必要があります。
個人番号の削除、機器および電子媒体等の廃棄の手段として、具体的には以下のような方法が考えられます。
- 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
- 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
- 特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
- 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
- 特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
- 個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定める。
まとめ
安全管理措置の内容として、組織的安全管理措置・人的安全管理措置・物理的安全管理措置・技術的安全管理措置があります。
前項では組織的安全管理措置。次項では技術的安全管理措置について、それぞれみています。
本項と合わせて、安全管理措置について学びましょう。