1. 基本方針の策定
個人データの適正な取扱いの確保に関連した基本方針を策定している。
2. 個人データの取扱いに係る規律の整備
取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、社内規程および関連するガイドライン等の規律を整備している。
3. 組織的安全管理措置
- 情報セキュリティ委員会を設け、個人データを含む情報全般のセキュリティの継続的な向上に努めている。
- 個人データの管理責任者と取扱者を定め、規律に従った取扱いを担保している。
- 個人データを含む情報資産の管理台帳を設け、取扱状況を確認している。
- 個人データを含む情報の漏えい事案に対応する計画を定め、報告の窓口を設けている。
- 個人データを含む情報の取扱状況に関する内部監査を実施している。
4. 人的安全管理措置
個人データを含む情報の適正な取扱いに関して、社内規程等で周知し、eラーニング等による教育を行っている。
5. 物理的安全管理措置
- 個人データを取り扱う区域に関して、許可された者のみが入場できるように管理し、その権限を定期的に確認している。
- 個人データが含まれる電子媒体等は施錠された場所に保管して出納を管理し、個人データが含まれるサーバ機器は情報セキュリティを考慮した特定エリアに設置している。
- 個人データが含まれる電子媒体等を持ち運ぶ場合には、管理者の承認を得た上で、暗号化等の紛失に備えた対策を実施している。
- 不要となった個人データが含まれる電子媒体等は、その複写等も含めて、再読不可能な状態に廃棄している。
6. 技術的安全管理措置
- 個人データを取り扱う情報システムを使用できるアカウントを制限し、定期的にその棚卸しを行っている。
- 個人データを取り扱う情報システムを使用できるアカウントに関して、ID・パスワード等を用いた識別・認証を行っている。
- 個人データを取り扱う情報システムに対する外部からの不正アクセス等を防止するため、マルウェアへの対策やログの監視等を行っている。
- 個人データを取り扱う情報システムの使用に伴う漏えい等を防止するため、情報システム上で使用できるソフトウェアの管理や機密性の高い情報共有手段の整備等を行っている。
7. 外的環境の把握
主に個人データを保管している日本・米国における個人情報の保護に関する制度を把握した上で安全管理措置を実施している。
米国における個人情報の保護に関する制度についてはこちらのページをご参照ください。