個人情報保護法対策(データ管理)について
データの安全な管理のために、留意すべき点を列挙します。
情報を分類し、管理する
- 重要度による分類
- (1) 複製、(2) 保存、(3) 郵便・ファックス・電子メール等による伝達、(4) 電話等言葉による伝達、(5) 破棄のそれぞれについて可否を判断し、ラベルを貼るなどして管理する
- 管理台帳の作成
セキュリティ事故、ソフトウェアの誤動作の報告
個人情報の流出等のセキュリティ事故やソフトウェアの誤動作があった場合には、所定の様式に従って管理者に速かに報告する
物理的な安全対策
- 可燃物・危険物はセキュリティが保たれた領域から十分離れた場所に保管する。セキュリティが保たれた領域には事務用品などを不必要に大量に保管しない
- バックアップ媒体は安全な場所に保管する
- 飲食できる場所は限定する
- 情報にアクセスできる者を制限し、入退室管理を行う
- 脅威に対する対策を取ること。考えられる脅威としては、次のようなものがある。窃盗・火災・爆発物・煙・水・ホコリ・振動・化学物質の影響・電源の障害・電磁放射線など。電源については、多重化、無停電装置の導入、非常用電源の確保などを考慮する
第三者委託の際の留意事項
- 提供先において、その従業者に対し当該個人データの取扱を通じて知り得た個人情報を漏らし、または盗用してはならないこととされていること
- 当該個人データの再提供を行うにあたっては、あらかじめ文書をもって事業者の了承を得ること
- 提供先における保管期間を明確にすること
- 利用目的達成後は個人データを返却・破棄・削除すること。また、こうした処理が適切かつ確実になされていることを事業者において確認すること
- 提供先における個人データの複写及び複製(バックアップを除く)を禁止すること
クリアデスク、クリアスクリーン
- 書類や媒体は使用していないとき、特に勤務時間外は施錠された書庫等、安全な保管庫に保管する(クリアデスク)
- 退社時や離籍時には、パスワードで保護されたスクリーンセーバーの使用やログオフを徹底する(クリアスクリーン)
データの持ち出しの禁止
装置、情報、ソフトウェアは許可なく持ち出さない。持ち出す場合は記録を残す
不正ソフトウェアからの保護
- 使用許諾を受けていないソフトウェアの使用を禁止する
- インターネットからのソフトウェア(スクリーンセーバー等も含む)のダウンロードは管理者の許可なく行ってはならない
- ウイルス対策を確実に実施する。電子メールのウイルスチェックだけでなく、システムの定期的なウイルスチェックが必要
バックアップの作成
- バックアップと復元の手順について確認しておく
- 重要なデータについては最低3世代分は保存しておく
- バックアップ媒体は安全な場所に保管する
不要になった媒体の処分
取扱に慎重を要する情報が記録されている媒体(紙、録音、カーボン紙、磁気データ等)は、安全かつ確実に保管し、不要になった場合は、安全、かつ、確実に(例えば、焼却、破砕)する
電子メール使用時のルール作成
どのような場合に電子メールを使うか、添付できるファイルの種類・保護についてルールを策定し、遵守する
パスワードの管理
- ユーザーIDやパスワードの共有をしない
- パスワードを紙に書いて保存しない(その紙が安全に管理される場合を除く)
- 他人に推測されやすいパスワードは使わない
- パスワードは定期的に変更する
(よいパスワードの例)
- 6文字以上
- 覚えやすい
- 名前や誕生日、電話番号など当人の関連情報から他人が容易に推測できる事項に基づかない(例:tomo0413)
- 連続した同一文字、数字もしくはアルファベットだけの文字列でない
(よいパスワードの作り方)
- 大文字と小文字を混ぜる
- 一定のルールで文字を入れ替える(例:o(オー)を 0(ゼロ)に、1(イチ)を l(エル)や i(アイ)や ! に、数字に対応する記号( 3 を # にするなど)に、など)
これらのルールに基づいて、上記の tomo0413 は、t0mOaPl# といった形式に書き換えることができる( aP の部分は4月の英語表記 April の頭文字を使っている)
外部からのアクセスはできるだけ避け、許可する場合もその範囲はできるだけ限定する
個人情報保護法対策の実務のご依頼は
株式会社リーガルフロンティア21 <security@lifr21.com> 担当:生(せい) まで
(専任コンサルタントが個人情報保護法対策や本サービスに関して回答いたします)
フリーダイヤル 0120-098-026
FAX 03-5283-6660(東京)、06-4796-8813(大阪)
|
