個人情報保護法対策
・悪意なく漏れるような運用をしないこと。
・漏れてしまった時にすぐにそのルートがわかるようにしておくこと。
安全管理のため、下記4つのカテゴリーでそれぞれ対策をしておく必要があります。
【個人情報保護の責任者を決める】
社長や担当取締役など個人情報保護対策の責任者を決め、
その号令の元で推進する必要があります。
そして個人情報保護法対策室などの組織を設け、
会社として重要課題であることを全社員に徹底させる必要があります。
【社内の「個人情報」を特定する】
社内にある「個人情報」を特定しなくてはいけません。
社内で何が保護すべき「個人情報」にあたるのかをまとめます。
この時に不要な個人情報については破棄することも重要な対策のひとつです。
そしてその「個人情報」について特定できたら、次にその「個人情報」の扱いについて指針が必要です。
この「個人情報保護ポリシー」を会社に関係する全ての人(従業員・株主・顧客・取引先等)に示さなければなりません。
【個人情報取扱規定・マニュアルを決める】
「個人情報取扱規定」に誰がどういう「個人情報」にアクセスでき、 情報の管理者は誰であるか、また個人情報の取扱ルールを明確化します。
【雇用及び契約時における非開示契約の締結】
社員がいかに個人情報保護対策に熱心でも外注先・委託先の社員が無関心では 対策をしたことにはなりません。 とくに顧客情報の管理やダイレクトメールの発送を外注先に委託している ところは委託先にも個人情報保護対策をしてもらう必要があります。 取引先・外注先・委託先・出入業者との間で「ルール」を作成し、 契約期間終了後も一定期間有効にする契約書を交わしておくことが重要です。
【従業員に対する周知・教育・訓練の実施】
個人情報保護に対する会社の取り組みや、情報セキュリティに関する規定などを周知させると同時に、個人情報を保護するための手順を確実に身につけることが必要です。
経済産業省のガイドラインで下記のようないくつかの物理的 ・技術的な対策を推奨しています。
・個人情報データを蓄積しているサーバーの物理的な分離
・個人情報へのアクセス制限
・ルータ・ファイアウォールによるネットワーク強化
・盗難防止
・機器・装置の物理的保護
個人データを取り扱うゾーンを独立させ厳密な入退室管理を行うこと。
また監視カメラを設置したり、機器類の盗難対策としてワイヤーロックをする等も物理的な対策です。
しかしこれらの対策では実際に購入しなければならなかったり、工事が必要であったり、費用も時間的なコストも必要です。
法が要求していることを単に守りの意識だけで取り組もうとすると個人情報保護対策のための費用は余計なものでたいした結果を生まないと思うかもしれません。
そうではなく周囲の遅れた対応から一歩抜きでた対策を講じることで、企業としての差別化戦略として、積極的に取り組んで、実際の利益を出してください。
この姿勢が対費用的にも有効です。
ファイヤーウォールによって外部からの不正アクセス防ぐことはできますが、内部からの情報流出については対策が不十分な場合があります。
【個人データへのアクセスにおける識別と認証】
個人情報を取り扱う従業員全員にそれぞれアクセス権限を設定し、必要なデータのみアクセスできるようにする。
【個人データのアクセスの記録】
データにアクセスした場合、誰がいつアクセスしたか、どのような処理がなされたか、記録をとる。
【個人データを取り扱う情報システムについての不正ソフトウェア対策】
またウイルス対策も基本対策の1つです。 ウイルスによっては、ハードディスク内に保存している個人データや、操作中の画面イメージを破壊したり、外部に送信するものがあります。
個人情報が含まれるデータや個人データを参照しているPCが、悪意のあるプログラムからの攻撃に脅かされないように、ウイルス対策やセキュリティパッチの適用は必須事項です。
【個人データの移送・送信時の対策】
インターネットや無線LANなど、盗聴される可能性のあるネットワークでは暗号化することや移送に利用するメディアも形態を問わず暗号化が必須です。
