1.組織的安全管理措置
(1)組織体制の整備
安全管理措置を講ずるために、以下のような組織体制を整備しております。
・個人データの取扱いに関する責任者の設置及び責任の明確化
・個人データを取り扱う従業者及びその役割の明確化
・上記の従業者が取り扱う個人データの範囲の明確化
(2)個人データの取扱いに係る規律に従った運用
個人データの取扱いに係る規律に従った運用確保のため、以下のような項目の状況確認が可能な措置を取っております。
・個人情報データベース等の利用、出力状況
・個人データが記載又は記録された書類、媒体等の持ち運び等の状況
・個人情報データベース等の削除、廃棄の状況
(3)個人データの取扱状況を確認する手段の整備
個人データの取扱状況の把握にあたり、以下のような項目を明確化しております。
・個人情報データベースの種類、名称
・責任者、取扱い部署
・利用目的
(4)漏えい等の事案に対応する体制の整備
漏えい等事案の発生時に備え、以下のような対応を行うための体制を整えております。
・事実関係の調査及び原因の究明
・影響を受ける可能性のある本人への通知
・再発防止策の検討及び決定
(5)取扱状況の把握及び安全管理措置の見直し
・個人データの取扱状況について、定期的に監査の実施をしております。
2.人的安全管理措置
(1)従業者の教育
・定期的な研修の実施
(2)従業者の監督
・個人データについての秘密保持に関する誓約書等を従業者に提出させる。
3.物理的安全管理措置
(1)個人データを取り扱う区域の管理
・従業者への入退室管理及び持ち込む機器等の制限
(2)機器及び電子媒体等の盗難等の防止
・個人データを取り扱う機器や個人データが記録された電子媒体、書類等は施錠できるキャビネットに保管
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
・持ち運ぶ個人データを取り扱う機器のパスワードによる保護の実施
(4)個人データの削除及び機器、電子媒体等の廃棄
・個人データが記載された書類等を廃棄する際は、シュレッダー処理等の復元不可能な手段を採用
・個人データが記録された機器、電子媒体等を廃棄する場合は、専用のデータ削除ソフトウェアの利用又は物理的な破壊等の手段を採用
4.技術的安全管理措置
(1)アクセス制御
・個人情報データベース等を取り扱うことのできる情報システムを限定
・ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業者を限定
(2)アクセス者の識別と認証
・ユーザーID、パスワード等によりシステム利用者の識別を行う
・定期的に識別情報の登録及び使用情報を調べ、不要な識別情報は速やかに削除
(3)外部からの不正アクセス等の防止
・情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入し、不正ソフトウェアの有無を確認
・ログ等の定期的な分析により、不正アクセス等を検知
(4)情報システムの使用に伴う漏えい等の防止
・情報システムの設計時に安全性を確保し、継続的に見直しを行う
・移送する個人データについて、パスワード等による保護の実施
(5)テレワーク業務における事故防止
・テレワーク業務には、会社が支給(または会社の許可を得た)パソコン等の電子機器を使用する
・ノートパソコン等を運搬する際には、紛失・盗難防止に努める
・セキュリティが確保されていない公衆Wi-Fiは使用禁止とする