個人情報を実際に保護するうえで柱になるのは安全管理措置です。安全管理措置には組織的・人的・物理的・技術的の4つがあり、中でも現場では物理的・技術的の2つが大切です。今回の記事では経済産業省ガイドラインに沿った物理的・技術的安全管理措置のチェックリストを紹介します。

個人情報を実際に保護するうえで柱になるのは安全管理措置です。安全管理措置には組織的・人的・物理的・技術的の4つがあり、中でも現場では物理的・技術的の2つが大切です。今回の記事では経済産業省ガイドラインに沿った物理的・技術的安全管理措置のチェックリストを紹介します。

物理的安全管理措置

入退室管理

• 個人データを取り扱う場所は入退を制限しているか。
• 建物・部屋は物理的に保護されているか。
• 入退室を記録しているか。

盗難等の防止

• 個人データを記録した書類やノートパソコンなどを机上や車内に放置していないか。
• 離席時にパスワード付きスクリーンセーバーを起動しているか。
• 記録媒体は施錠保管しているか。

機器装置の物理的保護

• 盗難・破壊・破損、漏水・火災・停電などから物理的に保護しているか。

技術的安全管理措置

個人データへのアクセスを適切にコントロールしているか

• IDとパスワードなどによってアクセス者を認証しているか。
• MACアドレスやIPアドレスで端末を制限しているか。
• ネットワークやアプリケーションでアクセスを制限しているか。
• 同時利用者数や利用時間を制限しているか。
• アクセス権限を最小化しているか。

個人データへのアクセスを記録しているか

• 個人データまたは情報システムへのアクセスや成功と失敗を記録しているか。
• 採取した記録を保護しているか。

不正ソフトウェア対策を適切に行っているか

• ウイルス対策ソフトウェアを導入し更新しているか。
• ソフトウェアのセキュリティ更新を適用しているか。

個人データの移送・通信時の対策を適切に行っているか

• 媒体の個人データを暗号化しているか。
• 通信経路を暗号化しているか。

個人データを取り扱う情報システムを適切にコントロールしているか

• 個人データをテストに利用していないか。
• 情報システムの利用状況を定期的に監視しているか。

安全管理措置の位置づけ

安全管理措置は個人情報保護取扱事業者に対して法律で義務づけられています。また、プライバシーマークを取得するときも重要な事項として位置づけられています。より詳しくお知りになりたい場合はお気軽にご相談ください。

参考資料「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（厚生労働省・経済産業省告示）

（行政書士　関戸幸一）