第17回 個人情報の取扱いのリスクに対する安全管理措置

 会社は、個人情報の漏えい等を防止するために、個人情報の取扱いについて、認識・分析したリスク(第16回コラム参照)に対して、必要かつ適切な安全管理措置(対策)を講じなければなりません(個人情報保護法20条、JIS Q 15001:2006 3.3.3、同3.4.3.2参照)。
 この安全管理措置には、[1]組織的 [2]人的 [3]物理的 [4]技術的という4つのものがあります。[1]組織的安全管理措置とは、個人情報を保護するための組織体制や規程等を整備すること、[2]人的安全管理措置とは、従業員に対する教育や非開示契約の締結等をすること、[3]物理的安全管理措置とは、入退館(室)の管理や個人情報の入った媒体等の盗難の防止等の措置、[4]技術的安全管理措置とは、個人情報へのアクセスの制御や情報システムの監視等の措置をいいます(経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」25~37頁参照)。また、どのようなものが、自社にとって、「必要かつ適切な」措置であるかは、関係省庁等が作成したガイドラインを参考にするとよいでしょう。