社会問題になっている
個人情報の漏洩と安全管理のために、
業者が行うべきことはどんなこと?
個人情報に関する法律では、事業者は、
個人データの安全管理のために
必要な措置を講ずることになっています。
必要かつ
適切な措置について
事業者によって、必要かつ適切な措置というのは異なりますが、
組織的、人的、物理的、技術的な要素について
安全管理措置がとられている必要があります。
安全管理のためには、どの部門で、
どのような個人データを、何のために、
どのような方法で取り扱っているかを把握し、
問題点、改善点などを情報の取得、
入力、利用、保存、提供、廃棄といった
一連の流れに沿って検証することが必要です。
さらに、何が必要で適切な措置なのかは、
取り扱う個人データの内容や量、データの媒体、
取扱いの態様や関与する人の多寡によって異なりますので、
リスクに応じて、必要かつ適切な措置をとらなければなりません。
消費者信用産業における
安全管理措置とは?
消費者信用産業における、
事業者が取り扱う個人データの件数は、
一般的にも大量です。
また、データの内容も、
氏名や住所などの基礎的な属性データだけではなく、
契約情報や取引履歴、支払能力、
延滞に関する事実など幅広く、
一般に公開されない情報も多く含まれています。
さらに、これらは、
コンピュータによるデジタルデータとして
保有されることが通常です。
なので、消費者信用産業における事業者の場合には、
特に高度な安全管理措置が求められるのです。
金融庁事務ガイドラインには、
物理的安全管理措置についての
具体的な規定は、他の要素に含まれているためありません。
しかしながら、経産省信用分野ガイドラインでは、
安全管理措置は、組織的、人的、技術的、物理的な
各要素についてとられていなければならないとされています。
組織的安全管理措置とは?
組織的安全管理措置では、まず安全管理に対応した
責任者の設置や組織体制の整備、
安全管理措置を内容とする規程等の整備、
これに従った運用、
これらの実施状況等の確認検証とその結果にもとづいた改善
などが求められることになります。
もし、事故がおきてしまった場合には、
再発防止のための原因究明と対策を講じます。
そして、二次的被害の防止などのために、
その事故に関する個人データの本人への通知と説明を行い、
事故の発生と内容について公表します。
人的安全管理措置とは?
人的安全管理措置については、次のようなことが必要です。
■従業員等に研修などを行なうこと
■個人データの取扱いに関する契約の締結などによって
目的外利用や開示の禁止を義務づけること
■違反には、懲戒等の処分を行うこと
物理的・技術的安全管理措置とは?
物理的・技術的安全管理措置については、
物理的に個人データを保護することや、
技術的に必要な措置を講じるために、
次のようなことが必要です。
■データルームへの入退室管理や媒体の施錠管理など
■システムのアクセスの制御
■不正ソフトウェア対策
■システムの監視と記録など
従業員や委託先の
監督について
■従業員の監督
・安全管理措置に関する規程等の遵守状況について、
随時モニタリングを行う。
■委託先の監督
・委託者や受託者の責任の明確化、
受託者に義務づけられる安全管理措置の具体的内容、
委託者の質問・調査権限などを契約で規定したり、
事故の際の責任の分担や損害賠償義務などを規定する。