個人情報保護法の改正について　その６

令和２年、３年に行われた個人情報保護法の改正について、超！わかりやすく、

（ただし、わかりやすくするために若干細部を端折って）

説明していくシリーズ、第６回目です。

６回目のテーマは、「保有個人データに関する公表事項」その２として、「個人情報を安全に管理するために講じた措置」について説明します。

冒頭に、お間違えなきよう申し上げますと、

改正前から「個人情報を安全に管理するための措置」を講じなければならなかった

のであり、今回の改正では、これについて「公表義務が設けられた」というだけに過ぎません。

「急にこんな大変なことをしなきゃいけなくなるのおかしくない？」と思った方は、「そもそもこれまでに取り組んでないのが問題である」というご理解をお願いします。

さて、「個人情報の保護に関する法律についてのガイドライン（通則編）」によると、事業者が講じなければならない安全管理措置措置の例として、次のようなものが挙げられています。

１．基本方針の策定
個人情報を安全に管理するために、「関係法令やガイドライン等の遵守」「安全管理措置について」「質問及び苦情処理の窓口」をどうするのか。

２．個人データの取扱いに係る規律の整備
漏えい等の防止するため、個人データの具体的な取扱いに関するルールの整備をする。

３．組織的安全管理措置
個人データの安全な管理を実践するために、次のような組織的取組を行う。
（１）組織体制の整備
安全管理のための体制をどうするのか。
（２）個人データの取扱いに係る規律に従った運用
（３）個人データの取扱状況を確認する手段の整備
個人データの取扱いに関するルールを守らせる方法、守っているか確認するための方法の整備。
（４）漏えい等事案に対応する体制の整備
漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制の整備。
（５）取扱状況の把握及び安全管理措置の見直し
どのように安全管理措置の改善に取り組むのか。

４．人的安全管理措置
従業員に定期的な教育を行う等の措置を行う。

５．物理的安全管理措置
個人データの安全な管理を実践するために、次のような物理的取組を行う。
（１）個人データを取り扱う区域の管理
個人データを取り扱う場所を区画して入退室の管理を行う等。
（２）機器及び電子媒体等の盗難等の防止
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための対策を行う。
（３）電子媒体等を持ち運ぶ場合の漏えい等の防止
電子媒体については、個人データの暗号化、パスワードによる保護など、書類については、施錠容器の利用、封緘などの方法で対策を行う。
（４）個人データの削除及び機器、電子媒体等の廃棄
個人データの削除や個人データが記録された機器の廃棄は、復元不可能な方法によること。

５．技術的安全管理措置
パソコン等を用いて個人データを取り扱うにあたって、次のような技術的取組を行う。
（１）アクセス制御
（２）アクセス者の識別と認証
従業員ごとに、取り扱う個人情報の範囲を限定するために、アクセス制御を行う。
（３）外部からの不正アクセス等の防止
外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入する等の対策を行う。
（４）情報システムの使用に伴う漏えい等の防止
誤って個人データを漏えいしてしまうこと等を防止するための対策を行う。

６．外的環境の把握
既に「個人情報保護法の改正について　その４」でご説明した内容です。
（詳しくはリンクをクリックして下さい。）

※繰り返しますが、わかりやすくするために細部を端折って説明していますので、ご注意ください。