創業期における個人情報保護のための安全管理措置

本稿のテーマ

　創業準備期又は創業期は会社が，保有する個人情報を保護するために執るべき安全管理措置の水準はどのようなものでしょうか。

自社内で取り扱う個人データ[1]に関する安全管理措置の方針

　基本方針の策定，規律の整備，組織的安全管理措置，人的安全管理措置，物理的安全管理措置，技術的安全管理措置の６つの観点から，安全管理措置を整備します。

　以下は，現時点において中小規模事業者[2]として最低限執ることが求められる安全管理措置の水準を示しておりますが，事業拡大を企図するのであれば，早期段階から，一般的な個人情報取扱事業者に求められる水準を意識して準備を行うことが望ましいです[3]。

基本方針（プライバシーポリシー）の策定	事業実態に照らし，プライバシーポリシーを作成の上，随時見直しを行う。
規律の整備	個人データの取得，利用，保存等を行う場合の基本的な取扱方法を整備する。 ※追々「規程」や「マニュアル」等を作成することが望ましいが，現時点では，社内の告知文書や電子メール等で基本的な取扱方法を告知することで足りる。
組織的安全管理措置	個人データを取り扱う従業者が複数いる場合，責任ある立場の者とその他の者を区分する。あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを，責任ある立場の者が確認する。あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを，責任ある立場の者が確認する。漏洩等の事案の発生時に備え，従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。責任ある立場の者が，個人データの取扱状況について，定期的に点検を行う。
人的安全管理措置	個人データの取扱いに関する留意事項について，従業者に定期的な研修等を行う。個人データについての秘密保持に関する事項を就業規則等に盛り込む。
物理的安全管理措置	個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。個人データを取り扱う機器，個人データが記録された電子媒体又は個人データが記載された書類等を，施錠できるキャビネット・書庫等に保管する。個人データを取り扱う情報システムが機器のみで運用されている場合は，当該機器をセキュリティワイヤー等により固定する。個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合，パスワードの設定，封筒に封入し鞄に入れて搬送する等，紛失・盗難等を防ぐための安全な方策を講ずる。個人データを削除し，又は，個人データが記録された機器，電子媒体等を廃棄したことを責任ある立場の者が確認する。
技術的安全管理措置	個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し，個人データへの不要なアクセスを防止する。機器に標準装備されているユーザー制御機器（ユーザーアカウント制御）により，個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。　ex) ID,PWの設定個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し，自動更新機能等の活用により，これを最新状態とする。メール等により個人データの含まれるファイルを送信する場合に，当該ファイルへのパスワードを設定する。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」86頁以下に基づき作成

[1] 個人情報をデータベース化等して管理する場合，その個人情報は，個人情報保護法上，「個人データ」として取り扱われ，個人情報取扱事業者に一層高度な義務が課せられることになる。

[2] 「中小規模事業者」とは，従業員の数が100人以下の個人情報取扱事業者をいう。ただし，①その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６月以内のいずれかの日において5,000を超える者や②委託を受けて個人データを取り扱う者は，「中小規模事業者」には当たらない。こうした「中小規模事業者」の定義によれば，委託先の企業は，規模の大小にかかわらず，中小規模事業者の緩和された安全管理措置水準ではなく，一般的な水準が要求されていることに注意を要する。

[3] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」86頁以下において，具体例を挙げて詳細に紹介されている。