 |
|||||||||||||||
|
|||||||||||||||
| 前のページ 1 2 3 4 次のページ | |||||||||||||||
|
|||||||||||||||
| 第二十一条:従業者の監督、第二十二条:委託先の監督 | |||||||||||||||
|
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
|
|||||||||||||||
|
|||||||||||||||
|
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合には、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
|
|||||||||||||||
|
|||||||||||||||
| これら2つの条文については、情報セキュリティの管理策の中で最近特に重要なものとなっており、安全管理措置から別途抜き出して条文にした感がある。 以上、個人情報保護法の中で情報セキュリティマネジメントシステムに関する部分を確認してきた。これまで見てきたように、基本条文の中にも、企業への要求事項がこれだけ求められている。 それでは次に、これらの項目について更に詳細が記載されている各省庁のガイドラインを参照して、個人情報保護法で求めている情報セキュリティ管理策と情報セキュリティマネジメントシステムとの関係を見ていく。 |
|||||||||||||||
| 個人情報保護法に関連するガイド他 | |||||||||||||||
|
個人情報保護法は、あくまで個人情報の取り扱いの基本を定めた一般法である。企業は、各関連省庁からだされるガイドラインを参考に、その対応を実施していくこととなる。ガイドラインは、各省庁からだされているので多数存在するが、ここでは経済産業省・厚生労働省・金融庁のガイドラインについて確認を行い、その中で情報セキュリティマネジメントシステムと密接に関連する部分を取り上げる。 |
|||||||||||||||
| 経済産業省のガイドライン | |||||||||||||||
|
経済産業のガイドライン(正式には「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」)は、平成16年10月に確定して公表された。多くの民間企業の事業分野は、経済産業省の所管分野であるため、個人情報保護法のデファクトスタンダードであると思われる。 このガイドラインは、法律を具体的に適用するための指針や事例を示しており、企業において個人情報保護法対策を練る際には非常に参考になる。ガイドライン上に「しなければならない」あるいは「講じるものとする」と記載があるものは、義務に相当するとしている。また、「望ましい」と記載があるものは、義務ではないが、できるだけ取り組むことが望ましいとしている。 この中で安全管理措置については、以下の4つの観点(表3)から対策を講じるものとしている。 |
|||||||||||||||
表4:安全管理措置の具体化 |
|||||||||||||||
|
|||||||||||||||
|
|||||||||||||||
| 上記のそれぞれについては、さらに具体的な指針や事例が提示されており、企業が個人情報保護法に対応した規定を作りやすいように考慮されている。 また、従業員や委託先に関する監督義務についても、従業員に対するモニタリングの実施や委託先との契約に盛り込む内容なども細かく提示されている。 |
|||||||||||||||
|
前のページ 1 2 3 4 次のページ |
|||||||||||||||
|
|
|||||||||||||||
|
|
|||||||||||||||
|
|||||||||||||||
|
|
|||||||||||||||
|
|||||||||||||||
-
-
連載
