個人情報を取り扱う事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないと個人情報保護法にて定められています。
規格対応箇所
J.4.5.4 内部規程
J.9.2 安全管理措置
用語の説明
個人情報保護法での定義は以下の通りです。
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、
滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
具体的に実施すべき項目は個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」にて講ずべき安全管理措置として定められています。
※個人情報保護法上、安全管理措置は「個人データ」についての取り扱い規則ですが、Pマークでは「個人情報」全般に対してリスク分析の結果、必要かつ適切な措置を講ずるように求められています。
安全管理措置のカテゴリは大きく以下の4つに分類されます。カテゴリの中でさらに具体的な措置が指定されています。詳細は「個人情報の保護に関する法律についてのガイドライン(通則編)」を確認してください。
- 組織的安全管理措置
組織体制の整備と、個人データを取り扱う際の手順・運用の整備、継続的改善 - 人的安全管理措置
従業者への周知徹底と適切な教育 - 物理的安全管理措置
情報を取り扱う場所や媒体に対する覗き見防止や盗難、紛失、不適切な廃棄による漏えいの防止 - 技術的安全管理措置
不正アクセスや外部からの攻撃に対する技術的対策
要求されていること
- 個人情報の適正管理について、安全管理措置に関する事項を含む内部規程を文書化する
- 法令に基づき必要かつ適切な措置を講じる
やること
SecureNaviでは「文書・社内ルール」>「安全管理措置」にて、個人情報保護法に定められた安全管理措置に対して自社がどのような措置を講じているのかを確認することができます。
「リスク対応の洗い出し」にて「実施済み」としたリスク対応が、関連する安全管理措置の項目内に自動的に表示されます。
自社で実施済みのリスク対応が、必要な安全管理措置を満たしているかを確認しましょう。
本画面では、SecureNaviを利用いただく場合に必ず利用する内容についてはデフォルトで記載されています。(例:「組織的安全管理措置」-「組織体制の整備」→”PMS個人情報保護規程に従い、安全管理措置を講じるための組織体制を整備する。”)
「実施済みのリスク対応がありません」と表示される項目については、追加の対策が必要ないかを検討してください。追加の対策が必要な場合、対策を追加する資産の詳細画面からリスク対応を追加する必要があります。リスク対応の追加手順はこちらを参照してください。
よくある質問
自動提案されたリスク対応をすべて実施済みにしても「実施済みのリスク対応がありません」の表示が残ります。
以下、「組織的安全管理措置」に含まれる2つの安全管理措置については、基本的な要求事項は満たせているため、「実施済みのリスク対応がありません」の表示を気にする必要はございません。
-
個人データの取扱状況を確認する手段の整備
個人データの取扱状況を確認するための手段を整備することが求められています。SecureNaviご利用の場合、資産登録をし「個人情報管理台帳」「個人情報管理基準一覧表」を作成、管理することを規程していますので、追加の対応は不要です(自社の状況に応じて追加いただくのももちろんOKです)。
-
漏えい等事案に対応する体制の整備
漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備することが求められています。SecureNaviご利用の場合、漏えい等事案に対応する体制、手順をPMS個人情報保護規程に整備しているため、追加の対応は不要です(自社の状況に応じて追加いただくのももちろんOKです)。