公益・一般法人オンライン

• CATEGORY
• 法人運営・ガバナンス・情報管理
• 　対　象　
• 公益法人・一般法人

• 改正個人情報保護法への対応
• 　・安全管理措置
• 　　安全管理措置とは
• 　　基本方針の策定・規程類の整備
• 　　中小規模事業者の「個人情報取扱規程」の例

---

改正個人情報保護法への対応

（承前）

安全管理措置

◆安全管理措置とは
　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない（法20条）。
　個人情報保護の「肝」は、この安全管理措置にあるといっても過言ではない。個人データの安全管理のために必要かつ適切な措置を講じて、個人データの漏えい等を未然に防ぐ必要がある。
　安全管理措置を講ずるための具体的な方法は、ガイドラインの「別添」として定められている。安全管理措置には、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置があり、適切な措置を講じなければならない。もっとも、安全管理措置は、本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱い状況、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない（ガイドライン）。したがって、ガイドラインに示された例示の全てを行わなければならないということではない。
　また、安全管理措置は、中小規模事業者（従業員100名以下の個人情報取扱事業者）であっても講じなければならない。しかし、取り扱う個人データの数量及び個人データを取り扱う従業員数が一定規模にとどまること等を踏まえ、ガイドラインの中の「中小規模事業者における手法の例」が示されているので、参考となる（従業員が100名以下であっても、過去6か月に5,000を超える個人データがある個人情報データベース等を用いている場合や、委託を受けて個人データを取り扱っている場合には、中小規模事業者としての扱いは受けない。）。
◆基本方針の策定・規程類の整備
　安全管理措置に関する対応は、①ガイドラインを参考に、具体的な安全管理措置を策定し、②それを規程に定める段階と、③実際に運用する段階とがある。
ⅰ　基本方針の策定
ⅱ　個人情報取扱規程
　個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない（ガイドライン）。安全管理のための取扱いの規律の整備は、個人情報取扱事業者の義務である。
　規律には、取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定する。具体的に定める事項については、組織的安全管理措置、人的安全管理措置及び物理的安全管理措置の内容並びに情報システムを使用して個人データを取り扱う場合（インターネット等を通じて外部と送受信等する場合を含む。）は技術的安全管理措置の内容を織り込むことが重要である（ガイ