組織的安全管理措置とは、安全管理について、従業者の責任と権限を明確にし、安全管理に対する規定や手順書を整備運用したり、その実施状況を確認したりすることをいいます。
今回は、JAPHICマークの取得事業者が行うべき、個人データの組織安全管理措置の内容について解説したいと思います。
組織体制の整備について
JAPHICマークの取得事業者は、まず個人データの安全管理措置を講ずるための組織体制を整備しなければいけません。
具体的には、個人データを誰が取り扱うのか、誰がどのような役割を担うのか、そして責任者における責任はどうするのかといったルールの整備です。
また、個人データを複数の部署で取り扱う場合は、部署ごとの役割分担も明確にします。
その他、事業者が個人データの取り扱いに関するルールに違反している場合や、万が一個人データの漏えいがあった場合などに、速やかに責任者に報告や連絡ができる体制についても、組織として整えておかなければいけません。
個人データの運用について
JAPHICマークの取得事業者は、あらかじめ整備された個人データの取り扱いに関するルールにしたがった運用を行い、その状況を把握するために、利用状況等を記録する必要があります。
具体的には、個人情報データベース等の利用や出力状況に関し、システムログやその他の個人データの取り扱いにかかる記録を整備したり、業務日誌を作成したりといったことが求められます。
また、当該データについては、運用を委託した場合の消去、廃棄を証明する記録についても、同じく業務日誌などで管理する必要があります。
個人データ取り扱い状況の確認手段について
JAPHICマークの取得事業者は、自社が取り扱う個人データの取り扱い状況における確認手段を整備しなければいけません。
また、そのためには、取り扱う個人データの種類や名称、項目などを明確にする必要があります。
ちなみに、個人データを取り扱う責任者や取り扱い部署、利用目的、アクセス権限者などの明確化についても、個人データの取り扱い状況の確認には必要不可欠です。
個人データの漏えいにおける体制の整備について
自社の個人データが漏えいした場合に、必要な対処を行えるような体制を整備するのも、JAPHICマークの取得事業者には必要な取り組みです。
こちらは、責任者への報告や連絡の体制を整備することだけでなく、事実関係の調査や原因の究明、影響が考えられる本人への通知、個人情報保護委員会への報告、再発防止策の検討や決定、事実関係や再発防止策の公表を行うために、必要な体制をすべて整えておくことも含まれます。
また、これらの体制を整えた上で、事業者は個人データの漏えい事案の発生またはその兆候を把握したときに、適切かつ迅速に対応しなければいけません。
組織的安全管理措置の見直しについて
JAPHICマークの取得事業者は、常に同じ内容の組織的安全管理措置を講じていれば良いというわけではありません。
個人データを危険にさらす脅威は常に変化しているため、定期的に自社による組織的安全管理措置の評価、見直しや改善が必要です。
また、これらの点検については、他部署等による監査を実施し、より問題点を見逃さないように工夫しなければいけません。
ちなみに、自社内ではなく、外部主体による監査活動を受けている事業者であっても、こちらの監査活動とあわせ、自社で監査を実施することが求められます。
まとめ
ここまで、JAPHICマークの取得事業者が行うべき、個人データの組織的安全管理措置について解説しましたが、いかがでしたでしょうか?
前述した組織的安全管理措置を行っていなければ、JAPHICマークの取得事業者はその適格性を失ってしまいます。
また、JAPHICマークの取得を目指す事業者も、審査に通過しなくなる可能性が高いため、意識して取り組むことが大切です。
