個人データの安全管理措置
お客様の個人データ取扱の安全管理措置に関して、当社の取り組みをQ&A方式で掲載いたします。
1.組織的安全管理措置について
- (Q1)個人データの管理責任者を設置し、その役割・責任を明確にしているか。
(A1)個人情報保護マニュアルにて明確にしている。
- (Q2)個人データ取扱部門が複数ある場合は、その部門毎に個人データの管理者を設置し、役割・責任を明確にしているか。
(A2)個人情報保護マニュアルにて明確にしている。
- (Q3)個人データの安全管理に係る基本方針、取扱規程を整備し、その規定に従った運用を行っているか。
(A3)PMS(個人情報保護マネジメントシステム)の運用・管理規程にて実施中。
- (Q4)個人データの取扱規程に規定する事項の遵守状況の記録および確認を行っているか。
(A4)PMSの運用・管理規程にて実施中。
- (Q5)個人データの取扱状況を確認するための台帳等を作成しているか。(台帳の内容には①取得項目、②利用目的、③保管場所、・保管方法・保管期限、④管理部署、⑤アクセス制御の状況、を含むものとする)
(A5)PMSの運用・管理規程にて実施中。
- (Q6)個人データを取扱う部署は、その取扱状況の点検に関する規定・体制を整備し、自ら点検を実施しているか。
(A6)内部PMSの監査規程にて実施中。
- (Q7)個人データ取扱状況に関する監査は、どのような体制・計画で実施することを規定で定め、実施しているか。
(A7)個人情報保護マニュアルにて実施中。
- (Q8)お客様が、当社の業務監査を行うことは可能か。
(A8)業務委託契約書締結にて可能。
- (Q9)個人データの漏洩等に対応する体制を整備し、対応部署、調査体制、事後対策等の検討体制、自社内外への報告体制を明確にしているか。
(A9)PMS管理規程にて明確にしている。
2.人的安全管理措置について
- (Q1)従業員と個人データの非開示契約を締結しているか。
(A1)運用管理規程により誓約書の提出。
- (Q2)個人データ取扱に係る従業員の役割・責任等を明確にしているか。
(A2)運用管理規程により誓約書の提出。
- (Q3)個人データの非開示等に違反した場合の懲戒処分を就業規則等に定めているか。
(A3)就業規程にて規定。
- (Q4)従業員に対して、個人データの安全管理措置の周知徹底・教育を行っているか。
(A4)PMS教育規程にて実施中。
- (Q5)従業員による個人データ管理手続きの遵守状況の確認を行っているか。
(A5)運用管理規程にて実施中。
3.技術的安全管理措置について
- (Q1)個人データの利用者の識別・認証機能を整備しているか。
(A1)ISMS(情報セキュリティーマネジメントシステム)マニュアルにて実施中。
- (Q2)入退室規定の設定等、個人データの管理区分を適切に設定し、管理しているか。
(A2)ISMSマニュアルにて実施中。
- (Q3)個人データへのアクセス権限を付与する従業員数を必要最小減にするなど、アクセス権限を適切に設定し、管理しているか。
(A3)運用管理規程、ISMS利用者管理細則にて実施中。
- (Q4)個人データへのアクセスを記録していますか、またその記録の分析は可能か。
(A4)運用管理規程、ISMS利用者管理細則にて実施中。
- (Q5)適切なアクセス制御、不正アクセスの防止策を講じ、監視しているか。
(A5)運用管理規程、ISMS利用者管理細則にて実施中。
- (Q6)個人データの漏洩防止策や毀損等防止策を講じているか。(蓄積、移送、伝送時)
(A6)運用管理規程にて実施中。
- (Q7)障害発生時速やかに復旧する措置を講じているか。(バックアップ取得、復旧手順書整備、訓練等)
(A7)PMS教育規程にて実施中。
4.外部委託管理について
- (Q1)外部委託の実施に係る規定を整備しているか。
(A1)業務委託契約書にて整備。
- (Q2)外部委託先における個人データの安全管理措置等の確認・監督を行っているか。また、外部委託先の安全管理体制は、本書の質問事項に照らし十分か。
(A2)運用管理規程にて実施。十分対応可能。
安全・安心・挑戦
