「個人情報保護対策」について・2【Pマーク取得の基礎知識】
情報管理課の古橋でございます。
今回の内容は前回に続き「個人情報保護対策」についての内容です。
先日お話しした「物理的対策」「人的対策」に続き、本日は残った
・技術的対策
・組織的対策
の二点についてお話しします。
まずは「技術的対策」です。
こちらは「技術的安全管理措置として講じなければならない事項」として、下記のようにまとめられています。
目次
技術的安全管理措置として講じなければならない事項
①個人データへのアクセスにおける識別と認証
②個人データへのアクセス制御
③個人データへのアクセス権限の管理
④個人データのアクセスの記録
⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
⑥個人データの移送・送信時の対策
⑦個人データを取り扱う情報システムの動作確認時の対策
⑧個人データを取り扱う情報システムの監視
パッと見てピンと来ないものもあるでしょうから、補足します。
「技術的対策」について
まずは①~③ですが、こちらはアクセスの認証の管理が大切となります。
アクセスの認証に用いるものとして真っ先に挙げられるのがIDとパスワードです。
ほかに社員証等に使われている磁気カードやICカード、指紋や網膜で識別する生体認証も同様ですね。
生体認証はまず大丈夫でしょうが、ID・パスワードの紛失や漏洩、カードの紛失などに気を付ければ①~③の対策は取れていると言えるでしょう。
続いて④⑤の前に⑥です。
こちらはデータそのものに関する対策です。
個人データの入ったファイルを送信する際の暗号化がまず挙げられます。
送り先を間違えたりファイルを流出させてしまった際の対策となります。
また、データのバックアップを管理することもこちらの⑥に含まれます。
データのバックアップ以外にデータの流出を防ぐセキュリティソフトの導入やセキュリティパッチのアップデートも同様です。
最後に先程抜かした④⑤、それに⑦⑧の四つの対策です。
こちらは個人データへのアクセスログを取得することが大切です。
取得するだけでなくアクセスログの分析や保管も重要です。
どこからアクセスが来ているのかを保管して分析することで立てられる対策もあるからです。
以上が技術的対策です。
「組織的対策」を見ていきましょう。
こちらも技術的対策と同様、下記のようにまとめられています。
組織的安全管理措置として講じなければならない事項
①個人データの安全管理措置を講じるための組織体制の整備
②個人データの安全管理措置を定める規程等の整備と規程等に従った運用
③個人データの取扱い状況を一覧できる手段の整備
④個人データの安全管理措置の評価、見直し及び改善
⑤事故又は違反への対処
「組織的対策」について
組織レベルの①体制整備から始まりそこから②体制の運用、④評価や改善とひとつの流れになっていることがわかります。
それだけでなく、個人データをどのように扱っているかを確認する方法の設備や事故や違反への対処、つまり③と⑤も行うことで組織的対策が取れていると言えます。
各項目について、代表的なものをいくつか挙げていきます。
①に関してはまずCPOの設置が挙げられます。
CPOとは最高個人情報責任者のことです。
絶対にCPOが必要というわけではありませんが、個人情報保護管理者の設置はしておくと良いでしょう。
CPOや個人情報保護管理者の管理のもと、個人データの取り扱いについてどの部署にどのような役割や責任があるかを明確にしておくことが重要です。
次の②は規定の整備や運用ですが、こちらは例えば個人データを取り扱う場所の安全管理が挙げられます。
個人データが持ち出されやすい場所にないか、保管場所にキーロック、データファイルならアクセス権は絞り込んでいるか…などですね。
物理的対策と似たような話ですが、保管場所の入退室の記録やアクセスログ等を保持しておくのが良いでしょう。
③については、読んで字の如くですね。
②で出てきた入退室の記録やアクセスログ、こちらを見やすく整備してあればOKです。
定期的に中身を確認するとなお良いです。
次に④は、①~③全てにかかわることです。
①~③で何を行うかを計画・実施し、行ったことが間違いでないかを確認し、より良い方法はないかをまとめることです。
必要なところには順次修正を加え、組織的対策をより万全にしておくことが肝要です。
最後に⑤です。
事故や違反が起こらないようにすることは重要ですが、起こった後の処理も重要です。
こちらは事実関係や再発防止策の公表が第一です。
「事実調査をして原因の究明を急いでいる」なんてフレーズをニュースで聞きますが、⑤はまさにそれです。
まとめ
いかがでしたでしょうか。
今回は個人情報保護対策の「物理的対策」「人的対策」についてご説明いたしました。
組織的対策を万全にし万が一起こってしまったときにの処理についてもしっかりとした対策を立てておくことが重要です。
個人情報保護対策についての話は前回と今回で終了となります。
★Pマークに関するこちらの記事もおすすめです!
→【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】
✅ 株式会社UPFの実績・特徴
- 累計5,000社超の支援実績(2026年1月時点)
- 業界No.1のPマーク・ISMS取得コンサルティング会社
- 費用:税抜き49万円〜(業界最安水準・相場120万円〜の約1/3)
- プライバシーマーク(Pマーク)認定機関の審査員OBが在籍
- 全国対応・完全リモート対応でどこからでも相談可能
- Pマーク・ISMS・AIIMS(ISO42001)・TISAXのワンストップ支援
📞 まずは無料相談を。お問い合わせはこちら
📊 株式会社UPFの支援実績・お客様の声
累計5,000社超(2026年1月時点)のPマーク・ISMS取得をサポートしてきた株式会社UPFの支援実績の一例:
- ✅ IT・SaaS系企業:最短8ヶ月でPマーク新規取得。「審査員OBの指導で一発合格できた」
- ✅ 製造業(中小企業):大手取引先からのISMS要求に対応。「費用が相場の1/3で驚いた」
- ✅ 医療・介護系:個人情報管理体制を整備しPマーク取得。「全国対応でリモートだけで完結した」
- ✅ 人材派遣・HR系:IPO準備としてPマーク+ISMS同時取得を実現
▶ まずは無料相談で、貴社に最適なプランをご確認ください。お問い合わせはこちら
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]
![lgi01a201310171400[1]](http://upfsecurity.co.jp/pmark/wp-content/uploads/2015/10/lgi01a2013101714001-300x212.jpg)