TOPプロジェクト管理> 第二十一条:従業者の監督、第二十二条:委託先の監督
ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第1回:情報セキュリティマネジメントシステムとは?
 著者:みずほ情報総研  青木 淳   2005/9/5
前のページ  1  2  3   4  次のページ
第二十一条:従業者の監督、第二十二条:委託先の監督

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合には、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
   これら2つの条文については、情報セキュリティの管理策の中で最近特に重要なものとなっており、安全管理措置から別途抜き出して条文にした感がある。

   以上、個人情報保護法の中で情報セキュリティマネジメントシステムに関する部分を確認してきた。これまで見てきたように、基本条文の中にも、企業への要求事項がこれだけ求められている。

   それでは次に、これらの項目について更に詳細が記載されている各省庁のガイドラインを参照して、個人情報保護法で求めている情報セキュリティ管理策と情報セキュリティマネジメントシステムとの関係を見ていく。
個人情報保護法に関連するガイド他

   個人情報保護法は、あくまで個人情報の取り扱いの基本を定めた一般法である。企業は、各関連省庁からだされるガイドラインを参考に、その対応を実施していくこととなる。ガイドラインは、各省庁からだされているので多数存在するが、ここでは経済産業省・厚生労働省・金融庁のガイドラインについて確認を行い、その中で情報セキュリティマネジメントシステムと密接に関連する部分を取り上げる。
経済産業省のガイドライン

   経済産業のガイドライン(正式には「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」)は、平成16年10月に確定して公表された。多くの民間企業の事業分野は、経済産業省の所管分野であるため、個人情報保護法のデファクトスタンダードであると思われる。

   このガイドラインは、法律を具体的に適用するための指針や事例を示しており、企業において個人情報保護法対策を練る際には非常に参考になる。ガイドライン上に「しなければならない」あるいは「講じるものとする」と記載があるものは、義務に相当するとしている。また、「望ましい」と記載があるものは、義務ではないが、できるだけ取り組むことが望ましいとしている。

   この中で安全管理措置については、以下の4つの観点(表3)から対策を講じるものとしている。
組織的安全管理措置 個人データの安全管理措置を講じるための組織体制の整備
個人データの安全管理を定める規定などの整備と規定などにそった運用
個人データの取り扱い状況を一覧できる手段の整備(個人データの取扱台帳)
人的安全管理措置 雇用契約時および委託契約時における非開示の契約の締結
従業員に対する教育訓練
物理的安全管理措置 入退館(室)管理の実施
盗難等の防止
機器・装置などの物理的な保護
技術的安全管理措置 個人データのアクセスにおける識別と認証
個人データへのアクセス制御
個人データへのアクセス権限の管理

表4:安全管理措置の具体化
組織的安全管理措置
安全管理について、従業者の責任と権限を明確に定め、安全管理に対する規定や手順書を整備運用し、その実施状況を確認することとしている。つまり、個々で対応するのではなく、企業組織全体として個人情報に対する体制を構築することを要求している。

人的安全管理措置
従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練などを行うこととしている。ここでは、雇用あるいは契約時の非開示契約や従業員に対する個人情報またはその管理策について、教育を実施することを要求している。

物理的安全管理措置
入退館(室)の管理、個人データの盗難の防止などの措置を行うこととしている。個人情報の漏えいや盗難を防ぐため、情報保管場所の入退管理や情報が保管されている機器の保護について要求している。

技術的安全管理措置
個人データおよびそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視など、個人データに対する技術的な安全管理措置をいう。
   上記のそれぞれについては、さらに具体的な指針や事例が提示されており、企業が個人情報保護法に対応した規定を作りやすいように考慮されている。

   また、従業員や委託先に関する監督義務についても、従業員に対するモニタリングの実施や委託先との契約に盛り込む内容なども細かく提示されている。
前のページ  1  2  3   4  次のページ

みずほ情報総研株式会社 青木 淳<
 著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第1回:情報セキュリティマネジメントシステムとは?
  情報セキュリティ事件・事故の影響
  個人情報保護法の要求事項
第二十一条:従業者の監督、第二十二条:委託先の監督
  厚生労働省のガイドライン