個人情報取扱事業者の義務である安全管理措置について【Ｐマーク取得の基礎知識】

Ｐマークの現地審査へ向けたご質問の中で、「安全管理措置に関して不安がある」という方がたくさんいらっしゃいますが、おそらく、そもそも「安全管理措置」とは何かをいまいちイメージ出来ていない方が多いからだと思われます。

安全装置措置とは

 安全管理措置とは、個人情報を漏洩、滅失、毀損などから守るために、また安全を保つために実施すべき適切な措置のことなのですが、個人情報保護法では、個人情報取扱事業者の義務として、以下のように安全管理措置に明記してあります。

個人情報保護法の安全管理措置（第二十条）

 第二十条（安全管理措置）

　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

それでは、具体的に審査ではどこが確認されるのかについては大きく分けて下記の通りとなります。

審査で確認される事項

 ■入退館管理

（建物、個人情報の取扱い場所への入退の制限機構があり、入退制限しているか等）

■盗難防止

（ノートPCや電子媒体を社外に持ち出すことへの対策、PCのリース・レンタル等）

■物理的な保護

（サーバデータのバックアップをしているか等）

■アクセス制御

（アクセスログを取得しているか。アクセスログを定期的にチェックしているか等）

■不正ソフトウエア対策等

（ウイルス対策ソフトを導入し、パターンファイルを最新にしているか等）

まとめ 

細かく分けるとたくさんあるのですが、設備投資の話ではなく、全てが効果的でかつ適切かどうかが問われるのです。

今回は安全管理措置についてまとめてみました。

★こちらの記事もおすすめ

→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている？（ＩＳＭＳ取得事業者からよくある質問）】