個人情報の取扱いに関する安全管理規程
株式会社ヴォ―カス
- 本規定について
- 1. 安全管理措置
- 2. 基本方針の策定
- 3. 個人データの取扱いに係る規律
- 3-1. 個人情報の取扱いについて
- 4. 組織的安全管理措置
- 4-1. 組織体制の整備
- 4-2. 個人データの取扱いに係る規律に従った運用
- 4-3. 個人データの取扱状況を確認する手段の整備
- 4-4. 漏えい等の事案に対応する体制の整備
- 4-5. 取扱状況の把握及び安全管理措置の見直し
- 5. 人的安全管理措置
- 5-1. 従業者の教育
- 5-2. 秘密保持
- 6. 物理的安全管理措置
- 6-1. 個人データを取り扱う区域の管理
- 6-2. 機器及び電子媒体等の盗難等の防止
- 6-3. 電子媒体等を持ち運ぶ場合の漏えい等の防止
- 6-4. 個人データの削除及び機器、電子媒体等の廃棄
- 7. 技術的安全管理措置
- 7-1. アクセス制御
- 7-2. アクセス制御
- 7-3. 外部からの不正アクセス等の防止
- 7-3-1. ファイアーウォールの設置
- 7-3-2. ウィルスソフトの導入
- 7-3-3. システムログ
- 7-4. 情報システムの使用に伴う漏えい等の防止
- 8. 本規定の見直し
- 8-1. 見直し
- 8-2. 改訂
本規定について
株式会社ヴォ―カス(以下、「当社」という。)は、個人情報の保護に関する法律を踏まえ、本規程に当社の事業の用に供す全ての個人情報を対象とした個人情報の適正な取扱いの確保に必要な安全管理措置に関する事項を定める。ただし、特定個人情報については、別途定める規程に基づき取り扱うものとする。本規定は、当社の全ての従業者(個人情報を取り扱う業務を外部に委託する場合の委託先及び労働者派遣法に基づく、派遣労働者も含む)に適用する。
なお、本規程における用語の定義については、本規程で特別に定めるもののほか、「個人情報の保護に関する法律についてのガイドライン」において定められた用語の定義による。
1. 安全管理措置
安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきである。2. 基本方針の策定
個人データの適正な取扱いの確保について組織として取り組むために、基本方針として「事業者の名称」、 「関係法令・ガイドライン等の遵守」、 「安全管理措置に関する事項」 、 「質問及び苦情処理の窓口」等を含む、個人情報保護方針を策定する。(関係様式「個人情報保護方針」)
3. 個人データの取扱いに係る規律
3-1. 個人情報の取扱いについて
個人情報の取扱い方法について、下記の通り定める。該当する権限を与えられた従業者のみがその権限の中で取扱いを実施するものとする。また、各取扱いに当たっては、次の許可されたエリアでのみ実施が認められており、許可なく持出すことを禁止する。(関係様式「アクセス権限管理表」」)
| 取扱方法 | |
|---|---|
| 取得 | ・個人情報保護管理者の承認を得て、適切な取得を行うこと。 |
| 利用 |
・収集時に特定した利用目的の範囲を超えた利用・加工は禁止し、利用目的の範囲内で、各業務フローに則り利用・加工を行うこと。 ・入力時には、元データと入力した各項目に誤り、漏れ、重複等がないか、必ず再確認を実施し、誤りを発見した場合又は記録事項の更新が必要な場合には、これを訂正又は更新し、再度確認を実施することにより、正確性・最新性を確保すること。 |
| 保存 |
・紙媒体を保存する際には、鍵付きの書庫やキャビネットに必ず保管し、鍵は適切に管理すること。また、個人データが記録された紙は、個人情報保護管理者の許可を得ずに自宅に持ち帰ってはならない。 ・電子媒体に保存する際には、個人データにパスワードの設定及び暗号化等の秘匿化を行い、鍵付きの書庫やキャビネットに必ず保管し、鍵やパスワードは適切に管理すること。また、個人データが記録された電子媒体は、個人情報保護管理者の許可を得ずに自宅に持ち帰ってはならない。 |
| 提供 |
・移送する場合は、移送先の宛先に誤り、漏れ、重複等がないか、必ず目視にて再確認を実施し、受領又は移送状況の確認が行えるような簡易書留郵便その他個人情報が含まれる荷物を輸送する特定のサービス等を利用すること。また、電子媒体の移送時には、個人データを暗号化しパスワードの設定を行うこと。 ・FAX送信の際には、送信頻度が高い送信先は、FAX機に電話番号登録を実施すること。宛先番号を入力する際には、入力後に指さし確認で番号の誤りがないかを再確認すること。送信した個人データは、FAX機等へ放置しないこと。 ・電子メール送信の際には、送信する個人データには必ずパスワードの設定及び暗号化等の秘匿化を行い、解除のパスワードは当該メールの本文内に記載しないこと。また、外出先から個人データを電子メールで送信する場合は、パスワードなしで使えるWi-Fiは使わず、信頼できる回線のみを利用すること。 |
| 削除 | ・個人データが記録された媒体は、完全初期化すること。 |
| 廃棄 |
・社内で電子媒体の廃棄を行う際は、物理的に破壊(シュレッダー、メディアシュレッダー等で)すること。 ・社内で紙媒体の廃棄を行う際は、シュレッダーで廃棄すること。 ・外部に委託する際には、廃棄証明書等を発行する専門業者に委託すること。 |
4. 組織的安全管理措置
組織的安全管理措置として、次に掲げる措置を講じなければならない。4-1. 組織体制の整備
組織体制整備を整備するため、個人データの取扱に関する規律の整備及び運用に関する統括的責任と権限を有する個人情報保護管理者を選任する。各個人データを取扱う従業者は、その取扱いに係る規律に違反又は個人データの漏えい等の事案の発生又は兆候を把握した場合は、別途定める「緊急連絡網」に基づき、個人情報保護管理者に報告する。4-2. 個人データの取扱いに係る規律に従った運用
個人データの取扱いに係る記録等の検証を可能とするため、別途「個人情報管理台帳」にて削除廃棄等の管理を行うと共に、個人データを取扱う情報システムの利用状況につき、イベントログ又は当該専用ソフト等を利用し、「アクセス権限管理表」に基づきアクセスログを残す。また、個人データを保管した各情報システムは定められた仕様に基づきバックアップを取得する。4-3. 個人データの取扱状況を確認する手段の整備
個人データの取扱い状況を確認するため、別途「個人情報管理台帳」を作成する。4-4. 漏えい等の事案に対応する体制の整備
漏洩等の事案に対応するため、別途「緊急連絡網」及び「事故又は違反報告書」を整備する。4-5. 取扱状況の把握及び安全管理措置の見直し
個人データの取扱状況の把握及び安全管理措置の見直しするため、内部監査体制を整備し、別途作成する「監査実施記録」にて毎年実施をする。5. 人的安全管理措置
人的安全管理措置として、次に掲げる措置を講じなければならない。5-1. 従業者の教育
個人データの取扱いに関する周知教育訓練を、別途作成する「教育実施記録」にて毎年実施をする。5-2. 秘密保持
当社の業務に従事する者は、その個人データの取扱に関して、就業規則に記載される秘密保持義務を順守すること。6. 物理的安全管理措置
物理的安全管理措置として、次に掲げる措置を講じなければならない。6-1. 個人データを取り扱う区域の管理
各個人データを取扱う際には、次の区画区分に係る規律を順守し、個人データを取扱うことが許可されていない区画には、個人データが格納又は個人データにアクセス可能な情報システムを持ち込まないこと。また、権限を有しない者に個人データが閲覧されないよう、各パソコンのスクリーンセーバーを必ず設定すること。| No | 区画名 | 取扱の可否 | 入退室管理方法 | |
|---|---|---|---|---|
| 個人情報 | 特定個人情報 | |||
| 1 | セキュリティエリア | ○ | ○ | |
| 2 | 業務エリア | ○ | × | |
| 3 | 共有エリア | ○ | × | |
| 4 | ||||
6-2. 機器及び電子媒体等の盗難等の防止
個人データを取扱う持ち運び可能な電子媒体及び個人データが記載された書類等は、施錠できるキャビネット等に保管する事。6-3. 電子媒体等を持ち運ぶ場合の漏えい等の防止
「アクセス権限管理表」において、個人情報保護管理者に許可を得て個人データを持ち運ぶ際には、データの暗号化又はパスワードの設定を行うこと。6-4. 個人データの削除及び機器、電子媒体等の廃棄
個人データが記載されたメディア媒体又は書類等を廃棄する際には、焼却、溶解又はシュレッダー等を利用し、復元不可能な状態にすること。また、パソコン等の情報システムを廃棄する際には、必ず個人情報保護管理者の許可を得て、物理的に復元できないよう破壊する又は復元不可能な専用データ削除ソフトを利用すること。なお、外部に作業を委託する場合には、必ず削除及び廃棄証明書を記録として取得すること。7. 技術的安全管理措置
情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。7-1. アクセス制御
「アクセス権限管理表」に基づき、個人情報データベース等へのアクセス及び取扱いについて、従業者とその情報システムを限定する。個人情報保護管理者の許可を得ずに、個人情報データベース等へアクセスしてはならない。7-2. アクセス制御
従業者は、付与されたユーザーID、パスワード、ICカード等を使用して、情報システムにアクセスすること。パスワードについては、次のルールに基づき適切に取り扱う事。受託元から付与されたパスワードを各自管理し、変更等は受託元が決めた通りとなる。
7-3. 外部からの不正アクセス等の防止
7-3-1. ファイアーウォールの設置
情報システムと外部ネットワークの間に、ファイアーウォールを設定する。7-3-2. ウィルスソフトの導入
情報システム及び機器に、セキュリティ対策ソフトウェア等を導入する。また、標準装備されている自動更新機能を必ず起動させ、ソフトウェア等を最新の状態とすること。7-3-3. システムログ
情報システム及び機器がアクセスログを取得している場合は、個人情報保護管理者の許可なく削除せず、指示に従い定期的に確認又は保管すること。7-4. 情報システムの使用に伴う漏えい等の防止
情報システム及び機器に脆弱性が発見された場合には、個人情報保護管理者に報告し、指示に従って安全性の確保のために見直し、改善すること。また、個人情報保護管理者から指示があった際には、暗号化された通信経路により個人データを送信すること。8. 本規定の見直し
8-1. 見直し
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩等に応じて変わり得るものであり、本規定は、法の施行後の状況等諸環境の変化を踏まえて定期的に見直しを行うよう努めるものとする。8-2. 改訂
本規定の見直しは、個人情報保護管理者が行い、代表者の承認を経て改訂を行うものとする。| 版数 | 改訂年月日 | 改訂内容 | 作成 | 承認 |
|---|---|---|---|---|
| 第1版 | 【2021年3月1日】 | 新規制定 |