「プライバシーマークとは?」■第3回■ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.21(木)

「プライバシーマークとは?」■第3回■

特集 特集

●STEP4:内部規程の改正

社内の運用細則、就業規則等を見直していく。就業規則や雇用契約書への秘密保持条項の追加。退職後の競業避止義務契約とあわせて業務上秘密と指定された個人情報については契約終了後も一定期間秘密保持する条項を追加する。内部規程に違反した場合の罰則条項を付け加える。

配送を委託しているなど委託先があれば委託元がしっかり管理しなければならない。委託先との口約束だけでは駄目で、守秘義務契約などきちんとした契約を行い、また守られているか監督する必要がある。

  ■委託先との契約事項(例)
   1.委託元、委託先の責任について
   2.個人情報の安全管理
   3.再委託に対する取り決め
   4.個人情報取扱状況の委託先へ報告する内容・その頻度
   5.契約内容が遵守されなかった場合の措置
   6.事故が発生した場合の連絡について

「2.個人情報の安全管理」は具体的には委託契約範囲外の複写や利用の禁止、委託契約期間、契約期間終了後の個人情報の返還・廃棄の規定など。また必ず書類で残る形にする。親会社やグループ会社などは第三者となり個人情報を共有する場合は、同じ様に契約内容の見直しが必要となる。

セキュリティ管理の基本は分散より集中である。集中させると的を絞れ、対処しやすくなる。例えばファイリングをしっかり行い、社員の机の中などにある手持書類をなるべく減らす。会社を出る時に、責任者がキャビネットに鍵をかける運用の方が全社員の机を施錠するより簡単である。キャビネットには『最終者は必ず施錠すること』と注意書きを貼っておく。また誰が最後にキャビネットを締め、開けたか記入する管理表を貼っておけば、トレーサビリティが可能となる。

また多くの中小企業では重要書類について特に識別していなかった。経営情報や個人情報は会社の重要な秘密情報と明示するためにも『マル秘』のスタンプを押すようにする。これが就業規則などの『業務上秘密と指定された個人情報』となる。

規程の改正にあわせて各部門に個人情報管理責任者を設置する、消費者相談窓口の設置など社内体制を整備しておく。

●STEP5:安全対策規程を定める

安全対策では入退管理規程、システム安全管理規程等を作成していく。例えば今までID・パスワードなどによるアクセス制限を行っていなければ、行うようにする。また誰が個人情報にアクセスしたか記録するようにし、記録は一定期間、保管する。

個人情報を入力するパソコンは机の後ろを通る人から見られないような場所に設置する。またパーティションを置くなど対策を行う。USBやフロッピーなどの外部記録装置が接続できないパソコンにすればよりリスクを下げることができる。もちろんインターネット等外部ネットワークとは接続できないパソコンにする。

バックアップデータの管理を徹底する。人間、誰しも目の前の物には注意するが、保管した物は注意が散漫になってしまう。また個人情報の受け渡しなどは必ず記録してトレーサビリティが可能にしておく。

●STEP6:個人情報保護法の社内教育

教育の対象は社員だけでなく、パート、アルバイトなど社内で働く全員が対象となる。全員を一度に集められないなら部門ごとの実施でもかまわない。全員の個人情報保護に対する意識を高めることが目的である。

水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也
http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  9. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×