|
|
 |
| 【 第19条 】 |
| 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。 |
|
| 【 第20条 】 |
| 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
|
| 【 第21条 】 |
| 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 |
|
| 【 第22条 】 |
| 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
|
| 【 第23条 】 |
| 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 |
|
|
法律では、これだけの記載ですが、企業が最も力を入れて対策をしていかなければならないのは、この部分です。特に第20条で述べられている「必要かつ適切な措置」を行うためには、組織的・人的・物理的・技術的な広範囲の安全対策をとらなければなりません。
これらの詳しい情報は「個人情報保護の対策」のコーナーで解説しています。 |
|
|
|
| ・ |
個人情報保護管理者の設置など、組織体制の整備 |
| ・ |
社内規定の整備と運用 |
| ・ |
個人データ取扱い台帳の整備 |
| ・ |
安全管理措置の評価、見直し、改善 |
| ・ |
事故または違反への対処 |
|
|
|
|
|
| ・ |
雇用時や契約時において非開示契約を締結 |
| ・ |
従業員に対する教育・訓練の実施 |
|
|
|
|
|
| ・ |
入退館(室)管理 |
| ・ |
盗難対策 |
| ・ |
機器、装置等の物理的な保護 |
|
|
|
|
|
| ・ |
個人データへのアクセス認証・制御・記録・権限管理 |
| ・ |
不正ソフトウェア対策 |
| ・ |
移送、通信時の対策 |
| ・ |
動作確認時の対策 |
| ・ |
情報システムの監視 |
|
|
| < 補足情報 > |
|
|
|
近年の個人情報流出事件では、外部からの不正アクセスによる情報漏えいは20%以下で、80%以上が従業員や業務委託先従業員といった内部の従業者による流出事故や漏えい事件であると言われています。
相次ぐ事故・事件に対して、経済産業分野のガイドラインでは特に以下の分野の対策強化を求めています。
|
|
| ・ |
個人情報を閲覧できる従業者の限定 |
| ・ |
個人情報の持ち出し制限 |
| ・ |
外部からの個人情報への不正アクセス防止策の導入 |
| ・ |
従業者に対する個人情報保護研修の実施 |
| ・ |
個人情報漏えい時は当該本人に速やかに通知 |
| ・ |
事件内容の公表(類似事件の発生回避) |
|
|
従業者に対する情報セキュリティ対策として、個人データに対する「アクセス制限・アクセス管理、監視」が有効です。また業務マニュアルの規定によって、持ち出し制限や移動時の取り決め、暗号化等 の手順を決め、全て、申請・承認によって処理することを決めて、守らせることも重要です。
これらによって、情報漏えい事故を防止し、従業者による情報流出を牽制することが可能です。
|
|
|
