| 特定した個人情報についてリスク認識・分析した結果に基づき、リスク低減の具体的な改善策として、最初に物理的・技術的安全対策を実施します。物理的安全対策には、入退室管理、盗難等に対する防止策、機器等の物理的な保護などの措置が含まれます。また、技術的安全対策には、個人情報データベース情報システムへのアクセス制御、ウィルスソフトウェアからの防御、情報システムの監視などの措置が含まれます。 |
| |
| 1.物理的安全管理対策−入退室管理 |
|
個人情報を取り扱う執務室(セキュリティーエリア)やコンピュータネットワークのサーバールーム(高度なセキュリティーエリア)への入退室を制限するシステムを導入します。 |
| |
| 2.物理的安全対策−盗難等に対する防止策 |
|
クリアデスクポリシー(退社・離席時の個人情報を含む書類・ノートパソコン類の施錠保管)、外部記録装置(フロッピーディスク・CD・DVD・USBメモリー等)の利用制限、ハードディスクの暗号化、個人情報を含む記録(書類・フロッピーディスク・CD・DVD・USBメモリー)・ノートパソコンの持ち出しの禁止、個人所有の記録媒体・ノートパソコンの持ち込みの禁止等、組織内外の者による盗難や組織内の者による紛失を防止する措置を講じます。 |
| |
| 3.物理的安全対策−機器・装置等の保護 |
|
安全管理上の脅威(盗難・破壊・破損等)や環境上の脅威(地震・浸水・火災・停電等)から個人情報を取り扱う機器・装置を保護します。 |
| |
| 4.技術的安全管理対策−個人データへのアクセスについての識別と認証 |
|
個人データにアクセスするコンピュータネットワークの端末に、ID・パスワードの設定、生体認証システムの導入等を行うことによって、個人データに対するアクセスが正当なものであることを確認します。 |
| |
| 5.技術的安全管理対策−個人データへのアクセス制御 |
|
個人データを利用する業務ごとに、コンピュータネットワークにアクセスできるID・端末を設定し、当該個人データへのアクセスが可能な従業者と端末を制限します。 |
| |
| 6.技術的安全対策−個人データへのアクセス権限の管理 |
|
従業者の入社・退職・人事異動時におけるID・パスワードの設定・削除・変更を確実に行うことによって、個人データにアクセスできる権限を適切に管理します。 |
| |
| 7.技術的安全管理対策−個人データへのアクセス記録 |
|
個人データへのアクセスログの取得・記録によって、不正アクセスの有無や各個人データへのアクセス状況等を把握します。 |
| |
| 8.技術的安全対策−個人情報を取り扱う情報システムにおける不正ソフトウェア対策の実施 |
|
組織内のすべてのコンピュータへのウィルス対策ソフトウェアの導入、ウィルス定義パターンファイルの最新性の確保等によって、個人情報を取り扱う情報システムをコンピュータウィルス等の攻撃から保護します。 |
| |
| 9.技術的安全対策−個人情報の移送(運搬・郵送・宅配等)・通信時の対策 |
|
個人データを移送する際の紛失・盗難に備え、当該データを暗号化して、の個人情報漏洩を防止します。また、個人データを電子メールで送信する場合は、当該データの暗号化・デジタル署名の利用等によって、第三者による盗聴・改竄・なりすましを防止します。無線LANを使用する場合も、同様に個人データを暗号化して通信を行います。 |
| |
| 10.技術的安全−個人データを取り扱う情報システムの動作確認時の対策 |
|
新たな情報システムの導入、または現在の情報システムの変更をする場合は、当該システムの動作確認における実際の個人データの使用を禁止します。また、情報システムの変更については、当該変更によって、従来のセキュリティー機能が損なわれないことを確認します。 |
| |
| 11.技術的安全対策−個人データを取り扱う情報システムの監視 |
|
個人情報を取り扱う情報システムの使用状況、個人データへのアクセス状況を調査・分析し、個人データへの不正なアクセス・業務上不必要なアクセスの有無を監視します。 |
| |
|
| 前ページへ |
Top Page