「個人情報保護対策」について・１【Ｐマーク取得の基礎知識】

はじめまして。
情報管理課の古橋と申します。

本日よりプライバシーマーク（Ｐマーク）に関する話をお伝えしていきます。

簡単にしか触れていませんが、なるべくわかりやすく伝えられればと考えています。

よろしくお願い致します。

本日は「個人情報保護対策」についてです。

個人情報保護対策

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

こちらは【 個人情報保護法 第20条 （安全管理措置）】の本文です。

大雑把にいえば

「個人情報を扱う人は個人データの流出などを防いで下さい。

ちゃんと安全管理の対策もしてくださいよ」

と言ったところでしょうか。

こちらの条文の

「安全管理のために必要かつ適切な措置」

というのが大きく四つに分けられており、

「組織的対策」「人的対策」「物理的対策」「技術的対策」にそれぞれ分けられます。

物理的対策

まずはわかりやすい「物理的対策」を見てみましょう。

こちらは読んで字の如く、物に対しての対策が主になります。

例えば

「『顧客一覧』のタックシールを付けたファイルを鍵のないキャビネットに収納する」

というのは悪いパターンです。

こちらに物理的対策を施すとすれば

「顧客一覧の入ったファイルを鍵付きのキャビネットに施錠管理し、記録を残す」

が良いでしょう。

ひとつずつ補足説明をします。

まず

「『顧客一覧』のタックシールを付けたファイル」

ですが、

「顧客情報が入ったファイルである」

とわざわざ知らせる必要はありません。

シールを貼ること自体は悪くないですが、例えば

「Aから始まるファイルは顧客一覧」

「顧客一覧は★印が背表紙に付いているファイル」

というように、個人情報を管理する人間だけがわかるような識別手段を講じるのが良いでしょう。

続いて

「鍵のないキャビネットに収納する」

ですが、これはわざわざ言うまでもありません。

個人情報が入っているキャビネットには鍵をかけましょう。

また、キャビネットがガラス戸の場合はガラス部分に紙を貼りつける、カーテンを装着する等の対策をした方がよいでしょう。

この際に注意するのは、紙の貼り付けを行ったのであれば、残るすべてのガラス戸にも同様の処置を施す必要があることです。

個人情報が入っているキャビネット「だけ」に紙が貼り付けられていたりカーテンがかかっていたりしたら、ここに個人情報がありますよと言っているのと変わりありません。

最後に物理的対策処置後の文末にある「記録を残す」です。

こちらの「記録」とは「施錠と開錠の記録」のことです。

記録を残すことで誰がいつ開錠していつ施錠したのかがわかるようになるだけでなく、個人情報を扱う社員に

「これは大切なファイルである」

とわからせることが期待できます。

以上が物理的対策です。

続いて「人的対策」を見ていきましょう。

人的対策

こちらも文字を見ての通り、人に対して行う対策です。

ポイントは二点、

「非開示契約の締結」と

「従業員への周知・教育・訓練」です。

先ほどと同様にひとつずつ補足説明をします。

まずは「非開示契約の締結とは何か」という点です。

ここでWikipediaより「秘密保持契約」の頁を一部抜粋します。

—以下抜粋—

秘密保持契約（NDA）とは、ある取引を行う際などに、法人間で締結する、営業秘密や個人情報など業務に関して知った秘密を第三者に開示しないとする契約。

機密保持契約、守秘義務契約ともいう。非開示契約とも訳されるが、これは特に、必ずしも本来の秘密でない情報も対象とする場合に用いられる。

—以上抜粋—

イコールではないものの秘密保持契約と非開示契約はおおよそ同じですね。

こちらの締結ということで、「人的対策」に大切な非開示契約とは

「仕事の中で知った情報や秘密を他の人に話さないで下さいね」

ということを雇用する際に契約することです。

次に「従業員への周知・教育・訓練」です。

こちらも言葉通り、個人情報保護に対する意識を深め、保護することの大切さを知り、またその手順を身につけることです。

先程お話しした「記録を残す」と似たような話でもありますね。

まとめ

本日は以上になります。

次回は残った二つの対策についてのお話をします。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】