別添
安全管理措置
<基本方針の策定>
当社は、個人データの適正な取扱いの確保について組織として取り組むために、関係法令・ガイドライン等の遵守、安全管理措置に関する事項、質問及び苦情処理に関する窓口等を定めた基本方針を策定します。
<個人データの取扱いに係る規律の整備>
当社は、取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、取扱方法、責任者、担当者及びその任務等について、個人データの具体的な取扱いに係る規律を整備します。
<組織的安全管理措置>
当社は、組織的安全管理措置として、次に掲げる措置を講じます。
(1)組織体制の整備
安全管理措置を講ずるための責任者を設置し、その責任を明確にするとともに、個人データを取り扱う従業員や取扱範囲を明確化する等、安全管理措置を講ずるための組織体制を整備します。
(2)個人データの取扱いに係る規律に従った運用
あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱います。なお、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、利用状況等を記録します。
(3)個人データの取扱状況を確認する手段の整備
個人データの取扱状況を確認するための手段を整備します。
(4)漏えい等事案に対応する体制の整備
漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備します。なお、漏えい等事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表します。
(5)取扱状況の把握及び安全管理措置の見直し
個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組みます。
<人的安全管理措置>
当社は、従業者に個人データを取り扱わせるに当たっては、個人データの適正な取扱いを周知徹底し、適切な教育を行うとともに、従業者を監督します。
<物理的安全管理措置>
当社は、物理的安全管理措置として、次に掲げる措置を講じます。
(1)個人データを取り扱う区域の管理
個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域及びその他の個人データを取り扱う事務を実施する区域について、それぞれ適切な管理を行います。
(2)機器及び電子媒体等の盗難等の防止
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行います。
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止
個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じます。
(4)個人データの削除及び機器、電子媒体等の廃棄
個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行います。また、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存し、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認します。
<技術的安全管理措置>
当社は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じます。
(1)アクセス制御
担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行います。
(2)アクセス者の識別と認証
個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証します。
(3)外部からの不正アクセス等の防止
個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用します。
(4)情報システムの使用に伴う漏えい等の防止
情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用します。
<外的環境の把握>
当社が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じます。
以上