今般、地方公共団体から委託を受けた事業者等において、個人データが含まれたUSBメモリを紛失する事案が発生しています。個人情報取扱事業者が個人データを取り扱う場合には、個人情報の保護に関する法律(平成15年法律第57号)に則り、個人情報を適正に取り扱っていただく必要があるため、改めて周知するものです。
(1)安全管理措置について(法第23条)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
個人データをUSBメモリ等電子媒体において取り扱う場合は、盗難又は紛失等を防止するために、施錠できるキャビネット又は書庫等の定められた場所で適切な管理を行わなければなりません。
また、個人データをUSBメモリ等電子媒体において持ち運ぶ場合も、業務上必要な場所に限るなど適切な管理を行うとともに、容易に個人データが判明しないよう、暗号化、パスワードによる保護等を行った上で保存する、施錠できる搬送容器を利用するなどの安全な方策を講じなければならないことに留意をした上で、慎重に取り扱ってください。
安全管理措置を定めた社内規程等に従った運用の状況を確認できるよう、電子媒体の持ち運びの状況等を記録することも重要です(個人情報保護法ガイドライン(通則編)10-3、10-5)。
【参考:個人情報保護法ガイドライン(通則編)】
10-3 組織的安全管理措置
個人情報取扱事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。
(1)組織体制の整備
安全管理措置を講ずるための組織体制を整備しなければならない。
(2)個人データの取扱いに係る規律に従った運用
あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱わなければならない。
なお、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、利用状況等を記録することも重要である。
(3)個人データの取扱状況を確認する手段の整備
個人データの取扱状況を確認するための手段を整備しなければならない。
(4)漏えい等事案に対応する体制の整備
漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。
なお、漏えい等事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である(※)。
(※)個人情報取扱事業者において、漏えい等事案が発生した場合等の対応の詳細については、3-5(個人データの漏えい等の報告等)を参照のこと。
(5)取扱状況の把握及び安全管理措置の見直し
個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。
10-5 物理的安全管理措置
個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。
(1)個人データを取り扱う区域の管理
個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)について、それぞれ適切な管理を行わなければならない。
(2)機器及び電子媒体等の盗難等の防止
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じなければならない。
なお、「持ち運ぶ」とは、個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要がある。
(4)個人データの削除及び機器、電子媒体等の廃棄
個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない。
また、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。
個人情報保護委員会
