ガイドラインの指示事項 ガイドラインの指示事項
◆ 物理的安全管理措置
○ 電子媒体等を持ち出す場合の漏えい等の防止
・特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、容易に個 人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策 を講ずる。ここで、「持出し」とは、特定個人情報等を、管理場所又は取扱 場所の外へ移動させることをいい、事業所内での移動等であっても、紛失・
盗難等に留意する必要がある。
≪手法の例示≫
・ 特定個人情報等が記録された電子媒体を安全に持ち出す方法としては、持 出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等 が考えられる。ただし、行政機関等に法定調書等をデータで提出するに当 たっては、行政機関等が指定する提出方法に従う。
・ 特定個人情報等が記載された書類等を安全に持ち出す方法としては、封緘、
目隠しシールの貼付を行うこと等が考えられる。
○ 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パス ワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐた めの安全な方策を講ずる。(中小規模事業者における対応方法)
例示 例示
第14条 特定個人情報等を持出す場合の漏えい・紛失の防止策
1 特定個人情報等が記録された電子媒体又は書類等の持出しは、次に掲げる 場合を除き禁止する。なお、「持出し」とは、特定個人情報等を、管理場所又 は取扱場所の外へ移動させることをいい、事業所内での移動等も持出しに該当 するものとする。
① 個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認 められる範囲内でデータを提供する場合
② 行政機関等への法定調書の提出等、当社が実施する個人番号関係事務に関 して個人番号利用事務実施者に対しデータ又は書類を提出する場合
2 事務取扱責任者等は、特定個人情報等が記載された書類等を持ち出す場合、
パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐ ための方策を講ずる。
20.個人番号の削除、機器等の廃棄① (第15条)
ガイドラインの指示事項 ガイドラインの指示事項
◆ 物理的安全管理措置
○ 個人番号の削除、機器及び電子媒体等の廃棄
・個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合で、所 管法令等において定められている保存期間等を経過した場合には、個人番号 をできるだけ速やかに復元できない手段で削除又は廃棄する。
・個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を 廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業 を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明 書等により確認する。
≪手法の例示≫
* 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復 元不可能な手段を採用する。
* 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用の データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手 段を採用する。
* 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する 場合、容易に復元できない手段を採用する。
* 特定個人情報等を取扱う情報システムにおいては、保存期間経過後におけ る個人番号の削除を前提とした情報システムを構築する。
* 個人番号が記載された書類等については、保存期間経過後における廃棄を 前提とした手続を定める。
○ 特定個人情報等を削除・廃棄したことを、責任ある立場の者が確認する。
(中小規模事業者における対応方法)
例示 例示
第15条 個人番号の削除、機器等の廃棄
代表取締役は、個人番号の削除、パソコン、書類の廃棄等を実施する場合、
次に掲げる各号の措置が実施されたことを確認する。
① 特定個人情報等を取扱うパソコンを廃棄し、別途パソコンを設置する場合、
ハードディスク等の記憶装置を物理的に破壊するか、特殊なソフトを利用し てデータを完全に消去する。
② 特定個人情報等を記載した申請書等の書類の法定保管期限が経過した場合、
当該書類に記載された個人番号部分をマスキングした上で、シュレッダーに より粉砕するか、清掃工場に持ち込み廃棄する。
③ パソコン、サーバー等に特定個人情報が記録されている場合、法定保管期 限の経過等により削除する場合、確実に削除を実施する。
④ 特定個人情報等を提供している場合、委託先が削除又は廃棄したことを委 託先が発行する証明書により確認する。