個人情報取扱事業者においては、取り扱う個人データの漏えい防止、安全管理のために講じなければならないとされています。
そのために、具体的にどんなことが必要とされているのかについて解説していきます。
安全管理措置はPマーク取得の有無に関わらず必要な取り組みになりますので、今一度確認をしていきましょう。
目次
- 安全管理措置とは
- 安全管理措置は4つに分類される
-組織的安全管理措置
-物理的安全管理措置
-人的安全管理措置
-技術的安全管理措置 - 安全管理措置の見直しポイント
- 脆弱性診断と対策強化のポイント
安全管理措置とは、
「個人情報保護法で決められた、データを安全に管理するための措置や指標のこと」です。
個人情報保護法で定められた義務
個人情報保護法では個人データを取り扱う事業者に対し、データの取り扱いを適切に管理するよう義務付けています。
安全管理措置では個人データを、以下の3つの機器から守ることを目的の一つとしています。
- 漏えい(第三者に個人データが渡る)
- 滅失 (情報が全てなくなる)
- き損 (データが破壊される)
安全管理措置の実施は、個人データをビジネスに利用しているほぼすべての事業者に求められ、
法人・個人、営利目的かなどは関係しません。
組織的安全管理措置
- 組織体制の整備
- 個人データの取扱いに係る規律に従った運用
- 個人データの取扱状況を確認する手段の整備
- 漏えいなどの事案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
尚、漏えい等事故が発生した場合は、二次被害の防止、類似事案の発生防止などの観点から、事案に応じた事実関係及び再発防止策を早急に公表することが求められています。
人的安全管理措置
人的安全管理措置では、事業者が従業者に対して「個人データの適正な取扱いの周知」と
「適切な教育」をおこなうことが求められます。
また就業規則に個人データの秘密保持に関する事項を記載が必要で、社内ルールには個人データの
秘密保持に関する事項や故意に違反した場合の罰則などを盛り込みます。
尚、個人データを扱う従業者には、定期的に研修を行わなければなりません。
そして事業者には、個人情報の秘密保持の重要性を従業者に説明し、監督する義務があります。
物理的安全管理措置
物理的安全管理措置では、個人データがまとめられた書類や電子データの安全な管理のために、
以下の4つの対策が義務付けられています。
- 個人データを取扱う区域の管理
- 機器及び電子媒体などの盗難等の防止
- 電子媒体などを持ち運ぶ場合の漏えいなどの防止
- 個人データの削除及び機器、電子媒体などの廃棄
また、盗難にあわないように施錠可能なデスクで保管したり、個人データを削除する時はデータ削除ソフトの利用や、書類はシュレッダーにかけるなどの簡単に復元が出来ない方法での削除が求められます。
技術的安全管理措置
個人データをPCなどの電子機器を利用して管理する際は、以下の4つの義務を果たす必要があります。
- アクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセスなどの防止
- 情報システムの使用に伴う漏えい等の防止
個人データへのアクセスができる従業員を決め、アクセスにはIDとパスワード入力が必須として不要なアクセスを防ぎます。また、セキュリティ対策ソフトを導入するなど安全な状態を保つ必要があります。
2020年からコロナ禍で外出自粛が継続されたことがきっかけとなり、
テレワーク環境を整える必要が出てきたことから、「VPN接続」「自宅PCやWi-Fiの利用」
「クラウド利用」などのネットワーク環境の整備が進められました。
利便性が向上する一方で、その分リスクも増大。
これまでの従来型の情報セキュリティ対策の限界をむかえました。
【ログインの見直し】
- IDとパスワードのルールはどうなっていますか?
- パスワードの他に多要素認証を必要としますか?(ログインに2つ以上の要素の使用)
①知識情報(パスワード、秘密の質問)
②所持情報(スマホへのSMSなど)
③生体認証(指紋、顔、静脈など) - 登録端末でないとアクセスできないようになっていますか?
- 各クラウドの認証情報ルールはどうなっていますか?
- シングルサインオンを使用していますか?
【アクセス制限】
- 業務システムへのアクセス制限はどうなっていますか?
①アクセス制御方式がある:機密部類に応じたアクセス権限
②利用者情報の登録・修正・削除と一体的に運用できている
③業務アプリや機密分類ごとにアクセス権を設定している - 外出先からサーバーやクラウドにアクセスする際の方法は?
①直接自宅Wi-fiルーターからアクセスする
②専用のWi-Fiルーターを支給し、アクセスさせている
③VPN経由でサーバーにアクセスする(クラウドはサーバー経由)
④アクセスがあるたび、なりすましかどうか判定している
【利用者端末の管理】
- 業務用PC・スマホを支給していますか?
- 業務用PC・スマホのソフトウェアインストール制限をしていますか?
- 業務用PCのUSB端子を無効かしていますか?
- 業務用PCにウイルス対策ソフトをインストールしていますか?
- 業務用PC・スマホを紛失した場合のルールはありますか?
【ログの記録と管理】
- 業務アプリなどへのアクセスログを収集していますか?
- アクセスログを分析していますか?
- 不審なアクセスを検知した場合、必要な対応をとれますか?
- クラウドのアクセスログや全ての通信ログを、収集・分析・活用ができていますか?
まずは外部からの不正アクセスを防ぐ”入口対策”(認証強化など)が必要となります。
その次に、不正アクセスされたことを前提とした”封じ込め政策”(EDR)の見直しが必要です。
更に、外部に情報を持ち出されない”出口対策”の重要性が増しています。
どの対策を強化すべきかは企業によって異なるため、
改めて現状分析をしてから対策強化を目指しましょう。
引用元:アシスト【標準型(サイバー攻撃)】対策のポイント
今回は安全管理措置について、詳しく見ていきました。安全管理措置は個人情報保護法で決められた措置や指標であるため、Pマークの取得の有無に関わらず、個人データを扱う事業者の義務となります。
また、Pマークの取得を検討している企業にとっては、改正個人情報保護法に合わせた「構築・運用指針」に対応した運用が求められます。今一度、ポイントを見直しておきましょう。
株式会社Runway-labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
Pマーク取得のご支援・ご相談も承っておりますので、ぜひ一度お気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。