- ベストアンサー
個人情報保護法における、ガイドラインの作り方
職場で、今年4月に施行される個人情報保護法で、事業者としてガイドラインをつくることになりました。 そこで、ガイドラインと言われてもピンとこないのですが、どのようにつくっていけばよいのでしょうか? ちなみに私の担当するものは、システム側(PCの使用や、サーバ使用の制限等)です。 いうなれば、セキュリティポリシーなのですが。 言ってることが支離滅裂でわからないと思いますが、どうぞよろしくお願いいたします。 ※ できましたら、例文のようなものがあればありがたいです。 セキュリティポリシーを公開しているサイトなどがありましたら、お教えください。
- taktak888jp
- お礼率39% (503/1285)
- その他(法律)
- 回答数2
- ありがとう数7
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
個人情報保護法のガイドラインは、(情報)セキュリティポリシーとは等しくありません。 記号で表すとつぎのとおりになると思います。 個人情報保護 = 個人情報主体者との関係 + 個人情報の情報セキュリティ 個人情報主体者との関係とは、 個人情報の収集する目的を提示する 個人情報を第三者への提供の取り扱い 個人情報の開示、利用の停止及び削除 など多くのものがあります。 事業者が個人情報保護のガイドラインを作成するためのガイドラインとして、国が分野別に作成していますので、つぎを参照してください。 http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html 一般的には、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経済産業省ホームページ)を参照すれば良いかと思います。 これでもわかり難いと思いますので、taktak888jpの会社と同じような事業を行っている会社で個人情報のガイドラインがHPに公開されているものを参照されるのが早いと思います。 例として、つぎを参照してください。 http://www.nec.co.jp/privacy.html
その他の回答 (1)
- Lariat
- ベストアンサー率57% (42/73)
飽くまで参考程度ですが、項目的には以下のようになると思います。 [物理的安全管理措置] 1.パブリックスペース(部外者が出入りできる空間) (1)個人情報を閲覧できるPCを使っての商談中に、営業マンが席を立つ場合は、パスワード付きスクリーンセイバー等を起動させる。 2.通常の事務スペース(従業員だけが出入りできる空間) (1)離席時、個人データを記したFDなどの媒体の放置を禁止し、PCのスクリーンセイバー等を起動させる。 (2)PCのモニターがパブリックスペースから見えないようにし、離席時にはスクリーンセイバー等を起動させる。 (3)個人データを扱う情報システムの操作マニュアルの机上などへの放置の禁止。 3.施錠可能スペース(従業員の中でも特定の権限をもつ者のみが出入りできる空間) (1)個人情報を扱う業務は、物理的に保護された室内で行なうことが望ましい。 (2)個人データを扱う情報システム等は、盗難、破壊、破損、漏水、火災、停電などの安全管理上、環境上の脅威から保護する。 (3)個人データを含む媒体は、施錠保管する。 [技術的安全管理措置] 1.ウィルス対策 2.個人データに対するアクセス制御 (1)アクセスにおける識別・認証(パスワードなど) (2)アクセス制御(権限の最小化、同時アクセス数の制限、アクセス時間の制限など) (3)アクセス記録の保存 3.個人データに関する以下の取り扱いについて、それぞれ責任者、担当者、手続き方法を規定する (1)取得・入力 (2)移送・送信 (3)利用・加工 (4)保管・バックアップ (5)廃棄・消去 また、上記以外にも、社内組織体制の整備、プライバシーポリシー(基本姿勢)、個人情報取扱規程、個人データ取扱台帳の整備、個人データの安全管理措置の評価・改善、漏洩時の対処、雇用契約時の誓約、従業員の教育・監督、委託先の監督などが挙げられますが、これらは全社的な問題で、恐らく他の部署で検討されることでしょう。
