」( GL31 頁)
E) 物理的安全管理措置
情報管理
04 6. 安全管理措置
METI 経済産業省
a. 特定個人情報等を取り扱う区域の管理
以下を明確にし、物理的な安全管理措置を講じる
「管理区域」=特定個人情報ファイルを取り扱う情報システムを管理する区域
「取扱区域」=特定個人情報等を取り扱う事務を実施する区域
≪手法の例示≫
管理区域に関する物理的安全管理措置としては、入退室管理及び管理区域へ持ち 込む機器等の制限等が考えられる。
入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システ ムの設置等が考えられる。
取扱区域に関する物理的安全管理措置としては、壁又は間仕切り等の設置及び座 席配置の工夫等が考えられる。
座席配置=例えば、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろ から覗き見される可能性が低い場所への座席配置等が考えられます(Q&A「Q15-1」)。
情報管理
04 6. 安全管理措置
b. 機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び 書類等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずる。
≪手法の例示≫
特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビ ネット・書庫等に保管する。
特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場 合は、セキュリティワイヤー等により固定すること等が考えられる。
53
情報管理
04 6. 安全管理措置
METI 経済産業省
削除又は廃棄した記録の保存は義務的
d. 個人番号の削除、機器及び電子媒体等の廃棄
個人番号利用事務等を行う必要がなくなった場合で、所管法令等において定めら れている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元で きない手段で削除又は廃棄する。
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄 した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託す る場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確 認する。
中小規模事業者における対応
特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
例)特定個人情報等が記載された書類等を廃棄する場合、焼却、
溶解、復元不可能な程度に細断可能なシュレッダーの利用、又は個 人番号部分を復元できない程度にマスキングする(Q&A「Q15-3」)。
情報管理
04 6. 安全管理措置
55
事業者は、特定個人情報等の適正な取扱いのために、次に掲げ る技術的安全管理措置を講じなければならない。
項 目 内容(中小規模事業者以外) 中小規模事業者 a. アクセス制御 情報システムを使用して個人番号関係
事務または個人番号利用事務を行う場 合、事務取扱担当者及び当該事務で取 り扱う特定個人情報ファイルの範囲を 限定するために、適切なアクセス制御 を行う
• 特定個人情報等を取り扱う機器を特定し、
その機器を取り扱う事務取扱担当者を限定 することが望ましい
• 機器に標準装備されているユーザー制御機 能(ユーザーアカウント制御)により、情 報システムを取り扱う事務取扱担当者を限 定することが望ましい
b. アクセス者の識別と 認証
特定個人情報等を取り扱う情報システ ムは、事務取扱担当者が正当なアクセ ス権を有する者であることを、識別し た結果に基づき認証する
c. 外部からの不正アクセ ス等の防止
情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組み を導入し、適切に運用する
d. 情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情 報漏えい等を防止するための措置を講ずる