個人情報に関する安全管理措置

当社は、取り扱う個人データの漏えい、滅失、毀損等の防止、その他の個人データの安全管理のため、関係する法令及びガイドラインを遵守し、個人データの具体的な取扱いに係る措置を講じてまいります。

以下に、個人情報保護委員会が策定した個人情報保護法に関するガイドラインにある安全管理措置の項目に則り説明いたします。

1.組織的安全管理措置

  1. 組織体制の整備
  2. 規程の制定および規程に従った運用
  3. 個人データの取扱状況を確認する手段の整備
  4. 漏えい等事案に対応する体制の整備
  5. 取扱状況の把握及び安全管理措置の見直し

2.人的安全管理措置

(1) 従業者の教育

» 当社は、個人情報の取扱いに関する留意事項について、役員を含むすべての従業員に定期的な研修・教育を実施しています。

» また、個人情報についての秘密保持に関する事項を個人情報保護管理規定などに定め、これに違反した場合に備え、就業規則に罰則規定を盛り込んでいます。

3.物理的安全管理措置

(1) 個人データを取り扱う区域の管理

» 当社は個人データを取り扱う区域において、社員証による従業員の入退資格付与、来訪者カードによる来訪者の入退館管理を実施しています。

» 個人データを含む書類は専用書庫で施錠保管を行っています。

 

(2) 機器及び電子媒体等の盗難等の防止

» USBメモリなどの可搬媒体は専用書庫での施錠保管、ノートPC・小型PCなどの可搬パソコンについては、ワイヤーロックによる盗難防止策を実施しています。

» スマートフォンの盗難・紛失に備え、データの暗号化、リモートロック・リモートワイプ等、遠隔操作の設定を行っています。

 

(3) 電子媒体等を持ち運ぶ場合の漏えい等の防止

» USBメモリ・ポータブルHDDなどの可搬媒体は、暗号化を実施した上で施錠可能な鞄等にて持ち運ぶよう規定しています。

» ノートPC・タブレット・スマートフォンなどの可搬端末には、以下の設定を実施しています。

・パスワードによるログイン制限

・搭載記憶媒体の暗号化

・フリーWiFiの使用制限

・リモートロック・リモートワイプなど遠隔操作の設定

» スマートフォンを除くの電子機器について、規定された区域以外へ持ち出す場合には、当社のPMS管理委員会、及び、部門長による「持ち出し許可書」にて管理しています。

 

(4) 個人データの削除及び機器、電子媒体等の廃棄

» 当社は、個人データを削除し、又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段でこれを行います。

» また、下記のいずれの処理も2名以上の従業員により削除操作を確認すると共に、「個人情報廃棄記録」に履歴を残しています。

・紙媒体

クロスカットシュレッダーにて裁断します。

・パソコン等の情報機器

ハードディスク/内部メモリを、データ消去専用ソフト利用するなど復元不可能な方法でデータ消去するか、物理的な破壊を行い、産業廃棄物としての所定の手続きを行っています。

なお、産業廃棄物回収事業者に廃棄委託する場合は、個人データの委託先として評価し、情報管理に関する合意書を締結します。

・可搬記録媒体

USBメモリーやポータブルHDD、DVD他のメモリカード類は、物理的に破壊するか記録面に傷をつけるなど行います。

・クラウドやレンタルサーバー上の個人データ

二次生成データやバックアップも含め、サーバー上からデータベースファイルごと削除します。

・委託された個人データ

電子媒体、紙媒体ともに、受託業務利用終了後、チェックリストに従い業務担当者の責任のもとに委託元に返却します。

4.技術的安全管理措置

(1) アクセス制御

» 役職、業務内容、その他の与えられた権限により、取り扱うことのできる機器や情報システム、個人情報データベース等の範囲を限定しています。

 

(2) アクセス者の識別と認証

» ID、パスワードによる個人認証を行い、システムに実装されている「ユーザーアカウント制御」にて、個人情報データベース等を取り扱う情報システムで、従業者を識別・認証しています。

 

(3) 外部からの不正アクセス等の防止

» 情報システムと外部ネットワークとの接続箇所にファイアウォールを設置し、不正アクセスを遮断しています。

» アクセスログ等の定期的な分析により、不正アクセス等を検知しています。

» 個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。

 

(4) 情報システムの使用に伴う漏えい等の防止

» テレワーク等にて社外からリモートアクセスを行う場合には、VPN等を利用し、個人データを含む通信の経路又は内容を暗号化しています。

» 移送する個人データについては、パスワード等による保護を行っています。

» メール等により個人データの含まれるファイルを送信する場合には、当該ファイルへのパスワードを設定しています。

» また、業務内容にもよりますが、メール等による個人データの含まれるファイルの送信は禁止し、クラウドストレージ経由にて送信しています。