安全措置として講じなければならない事項
プライバシーマークの認定を取られている組織が増えていますが、もともとは個人情報保護法を遵守するための仕組みなのですが、その後マネジメントシステムの意味合いを持たせるようになってから、安全対策の重要性が増してきました。ただ、JIS Q 15001:2005には具体的な安全対策の条項が盛り込まれていないので、最低限取られなければならない対策をあげておきます。
【物理的安全措置として講じなければならない事項】
1.入退館(室)管理の実施
・建物、室、サーバー室、個人情報の取扱い場所への入退を制限していること。
・建物、室、サーバー室、個人情報の取扱い場所への入退の記録を取り、保管していること。
・建物、室、サーバー室、個人情報の取扱い場所への入退の記録を定期的にチェックしていること。
2.盗難等の防止
・離席時に個人情報を記した書類、媒体、携帯可能なコンピュータ等を机上に放置していないこと。
・個人情報を取り扱うコンピュータの操作において、離席時は、パスワード付きスクリーンセーバーの起動又はログオフを実施していること。
・個人情報を記録した媒体(紙、外部記録媒体)は施錠保管していること。
・個人情報を記録した媒体の保管場所の鍵は特定者が管理していること。
・個人情報を記録した媒体(紙、外部記録媒体)の廃棄は、再利用できない措置を講じていること。
・個人情報を記録した携帯可能なコンピュータ等について、盗難防止措置を講じていること。
・携帯可能なコンピュータやUSBメモリ、CD-ROM等の外部記憶媒体の利用についてルールを定め、それを遵守していること。
・個人情報を取扱い情報システムの操作マニュアルを机上に放置していないこと。
3.機器・装置等の物理的な保護
・個人情報を取り扱う機器・装置等について、安全管理上の脅威(盗難、破壊、破損等)や環境上の脅威(漏水、火災、停電、地震等)から物理的に保護する装置を導入していること。
【技術的安全管理措置として講じなければならない事項】
1.個人情報へのアクセスにおける識別と認証
・個人情報へのアクセスにおいて、識別情報(ID、パスワード等)による認証を実施していること。
・個人情報を格納した情報システムについて、デフォルトの設定を必要に応じて適切に変更していること。
・識別情報の発行・更新・廃棄は、ルールに従っていること。
・識別情報を平文で記録していないこと。
・識別情報の設定及び利用は、ルールに従っていること。
・個人情報へのアクセス権限を有する従業員が使用できる端末又はアドレス等について制限していること。
2.個人情報へのアクセス制御
・個人情報にアクセスできる従業者の数は必要最小限にしていること。
・個人情報にアクセスできる識別情報を複数人で共用していないこと。
・従業者に付与するアクセス権限は必要最小限にしていること。
・個人情報を格納した情報システムの同時利用者数を制限していること。
・個人情報を格納した情報システムの利用時間を制限していること。
・個人情報を格納した情報システムを無権限アクセスから保護していること。
・個人情報にアクセス可能なアプリケーションの無権限利用を防止していること。
・個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性を検証していること。
3.個人情報へのアクセス権限の管理
・個人情報にアクセスできる者を許可する権限管理を適切かつ定期的に実施していること。
・個人情報を取り扱う情報システムへのアクセスは必要最小限であるよう制御していること。
4.個人情報へのアクセスの記録
・個人情報へのアクセスや操作の成功と失敗の記録を取得し、保管していること。
・取得した記録について、漏えい、滅失及びき損から適切に保護していること。
5.個人情報を取り扱う情報システムに関する不正ソフトウェア対策
・ウィルス対策ソフトウェアを導入していること。
・OSやアプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆるセキュリティパッチ)を適用していること。
・不正ソフトウェア対策の有効性・安全性を確認していること。
・個人情報にアクセスできる端末にファイル交換ソフトウェア(Winny、Dhare、Cabos等)をインストールしていないこと。
6.個人情報の移送・通信時の対策
・個人情報の受け渡しには授受の記録を残していること。
・個人情報を媒体で移送するときに、移送時の紛失・盗難が生じた際の対策を講じていること。
・盗聴される可能性のあるネットワーク(例えばインターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること。
7.個人情報を取り扱う情報システムの動作確認時の対策
・情報システムの動作確認時のテストデータとして個人情報を利用していないこと。
・情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないことを検証していること。
8.個人情報を取り扱う情報システムの監視
・個人情報を取り扱う情報システムの使用状況を定期的にチェックしていること。
・個人情報へのアクセス状況(操作内容を含む。)を定期的にチェックしていること。
以上、結構やらなければならない対策を多くありますが、最低限のルールとして取り組んでください!