JAPHICマークを取得済の事業者、またはこれからJAPHICマークを取得しようとする事業者は、いずれも事業の一環として個人データを取り扱っています。
また、こちらの個人データは、さまざまな安全管理措置によって保護しなければいけません。
今回は、JAPHICマーク取得事業者に求められる物理的安全管理措置について解説します。
物理的安全管理措置とは?
物理的安全管理措置とは、名前の通り個人データの安全を守るため、物理的に実施しなければいけない措置のことを指しています。
JAPHICマーク取得事業者からすれば、比較的導入がしやすく、ガイドラインと照らし合わせることで、実施状況もわかりやすい措置だと言えます。
また、物理的安全管理措置の対象には、紙媒体などで保管される個人データだけでなく、個人情報データベース等を取り扱うサーバ、メインコンピュータなども該当します。
具体的な個人データの物理的安全管理措置
JAPHICマークの取得事業者は、個人情報保護法(通則編)の内容に従い、以下のような物理的安全管理措置を講じる必要があります。
・区域の管理
・盗難防止対策
・持ち運び時の対策
・媒体の廃棄対策
区域の管理
JAPHICマーク取得事業者は、個人情報データベース等を取り扱うサーバ、メインコンピュータ等の重要な情報システムの管理区域、またはこれらの個人データを取り扱う事務を実施する区域について、適切に管理しなければいけません。
具体的には、当該区域に持ち込む機器等の制限、カードキーなどによる入退室管理、間仕切りの設定などが必要です。
また、こちらの管理区域については、座席の配置を工夫したり、覗き込みを防止する措置を実施したりすることで、可能な限りセキュリティ性を向上させることが望ましいです。
盗難防止対策
JAPHICマーク取得事業者は、個人データの盗難を防止するために、適切な対策を実施する必要があります。
例えば、個人データを取り扱う機器や電子媒体、紙媒体などについては、鍵付きのキャビネットや書庫などで厳重に保管します。
また、個人データを取り扱う情報システムが機器のみで運用されている場合、当該機器にセキュリティワイヤーなどで固定し、盗難を防ぐことが求められます。
持ち運び時の対策
JAPHICマーク事業者は、個人データが含まれる機器や紙媒体を持ち運ぶこともありますが、このような場合には、簡単に個人データが判明しないよう、安全な方策を講じなければいけません。
例えば、パソコンなどの機器を持ち運ぶ場合は、個人データを暗号化したり、パスワードによって保護を行ったりした上で持ち運ぶ必要があります。
また、紙媒体の持ち運びに関しては、目隠しシールの貼り付けや、運搬容器への施錠といった対策が求められます。
媒体の廃棄対策
JAPHICマーク事業者は、当初の目的のために保管する必要がなくなった個人データなどについては、適宜削除しなければいけません。
また、パソコンなどの機器を新調する際などには、個人データが含まれた機器を廃棄することもありますが、このような場合には、保存されたデータが復元できない手段で廃棄することが求められます。
具体的には、専門業者への依頼による廃棄などが挙げられます。
ちなみに、個人データが含まれる紙媒体を廃棄する場合にも、当該書類を焼却したり、溶解したり、シュレッダーにかけたりすることにより、同じように復元不可能な状態にしなければいけません。
まとめ
ここまで、JAPHICマーク取得事業者に求められる物理的安全管理措置について解説しましたが、いかがでしたでしょうか?
今回解説したのは、あくまで安全管理措置の一部に過ぎませんが、これらの対策を一つずつ確実にクリアしていくことで、個人データのセキュリティ性は上がりますし、問題があればすぐに改善に着手できます。
また、JAPHICマーク取得後は、これらの対策について継続的に実施し続ける必要があります。