【個人情報安全管理措置】
1. 目的
株式会社ビジネストラベルネットワーク社は、当社が取扱う個人情報を常に正確かつ最新の状態で管理するよう努める
とともに、以下の安全管理のための措置を講じる。
2. 基本方針の策定
個人情報の適正な取扱いの確保のため、「個人情報保護基本方針」を策定する。
3. 組織的安全管理措置
・個人情報保護管理者
個人情報保護管理者は法令や規定の順守を徹底させるとともに、違反している事実や恐れがある場合、また漏えい等の
事案に対し、早急に対応する体制を確立する。
・内部監査
個人データの取扱い状況について、定期的に自己点検、社内監査を実施する。
4. 人的安全管理措置
全社員について、個人データの取扱いに関する教育を定期的に実施する。
個人データの秘密保持に関する事項を就業規則等に記載を行う。
5.物理的安全管理措置
・入室資格保有者
(1)安全管理措置の適用範囲への入室資格を有する者は、当社社員等とする。
社員等はその身分を証するものとして、就業中は名札またはネックストラップを着用すること。
・入退室管理
入退室管理を次の通り行なう
(1)事務所の施錠・開錠は社員が実施し「入退室管理簿」に記録する。「入退室管理簿」は業務部長が管理確認する。
(2)来訪者が業務スペース(セキュリティゾーン内)に入ろうとする場合
ア.来客の場合:『ご来館者記入カード』をお客様に記入していただき、外来者入室証(ビジターカード)着用を
依頼。社員等同行のもとセキュリティゾーン内へ案内し、原則として退室まで見届ける。
イ.宅配等の日常の出入り業者については、ユニフォームで識別し、出入り口付近等必要最低限の範囲で入室を認
める。
(3)業務部長は、毎月初に前月分の『ご来館者記入カード』を確認・押印後1年間保管する。
(4)社員に施錠キーを貸与し「鍵受領書」に署名・捺印を求めることとする。「鍵受領書」は業務部長が保管管理する。
(5)社員等は外部からの入場者による物品の持込み、社内物品の持出しに際して不審な点を発見した場合(窃盗等)
は速やかに各部長へ報告する。
・漏洩、盗難等の防止
(1)離席時のクリアデスクの励行
ア.机上は常に整理し、記録媒体等が他の書類に紛れての紛失等を防止する。
イ.個人情報記載の書類等は机上放置しない。
ウ.パソコンのパスワード付きスクリーンセーバー等の起動による覗き見防止等を行なう。
エ.ID・パスワード等を記載したメモ等の机上放置の禁止。
(2)記録媒体等の施錠保管
ア.紙媒体、外部電子媒体の保管期間と保管場所を明確化する。
イ.使用後の保管場所への返却と確実な施錠の励行。
ウ.保管の記録は「個人情報帳票類保管及び廃棄記録簿」等各箇所で指定されている記録簿による。
*電子データファイルへのパスワード設定は必須です。
(3)保管期間終了後の記録媒体等の消去・廃棄
ア.保管期間満了後の当該年度終了後、速やかに廃棄する。
イ.紙媒体はシュレッダーによる廃棄又は委託先による溶解を行い廃棄証明書を取得する。
個人データ記載の裏紙利用は禁止する。
ウ.機器や媒体の廃棄時及びリース・レンタル返却時はデータを完全に消去する。
エ.廃棄完了後は「個人情報帳票類保管及び廃棄記録簿」等各箇所で指定されている記録簿に廃棄の事実を記録する。
(4)携帯可能なPC等を使用する場合は、チェーンロックの利用等盗難防止の対策を行なう。
(5)携帯電話を貸与する場合は、個人情報管理者が申請し個人情報保護管理者が承認を行い、個人情報管理部署(業務部)
が管理する。使用にあたっては、「パスワードの設定」を行い盗難等万一の事故による個人情報の漏洩防止を行なう。
尚、携帯電話に登録する項目は、会社名、氏名、電話番号のみとし、住所等の登録は行なわず個人情報 漏洩のリスク
を軽減する。
(6)データ入力時等のミス防止及び個人情報の適正な保存等
ア.データ入力後は、必ずデータ入力内容に誤りがないかを確認する。
イ.必要情報、不要情報の管理を常時行い、パソコン内には不要な個人情報を保存しない。
・機器、装置の保全
当社は、機器・装置等の安全を確保するため以下の措置を講じることとする。
(1)盗難防止のため入退室ルールを定め、部外者の業務スペースへの入場を原則禁止する。
(2)漏水等の事故を起さないために、機器設置施設の適切な維持管理を行なう。
(3)火災防止の為、終業時の点検を励行する。
(4)ファイルサーバー(社内ドキュメントサーバー)の定期的なバックアップの実施とアクセスログの監視を行なう。
・個人データの移送・持出し等の対策
(1)移送・送信
ア.個人データを記載した紙媒体(書類等)や電子的媒体(USBメモリ等)を取得・送付するときは、必ず取得・送付
の履歴の残る方法(例:書留郵便、宅配便等)を利用する。
イ.メールによる送信は、パスワードのかかったファイルを送信しパスワードは別メールにより送信する。
個人データの電子データ(ファイル)は、日常からパスワードをかけることが必須。
ウ.FAX送信においては、原則として既に登録されている短縮ダイヤルを活用し、直接入力を行なう場合は、必ず2回
以上声を出して確認後送信する。FAX番号の変更通知を受けた場合は、その都度個人情報管理者の責任において、
既登録内容を変更する。短縮ダイヤルを新規登録した場合は、個人データの記載されていない書面でテスト送信する。
(2)持出し
ア.個人データした紙媒体(書類等)の持出しは、原則禁止とする。
イ.業務上やむを得ず持出す場合は、『個人情報「持出管理簿」』に必要事項を記入し、個人情報管理者の承認を得る。
ウ.返却にあたっては、返却日を厳守し、個人情報管理者からの確認(内容、数量等)を受ける。
6.技術的安全管理措置
・アクセス制御、不正ソフトウエア対策
(1)担当者に「ID・パスワード」を発行し識別情報による認証を実施する。
(2)識別情報発行・更新・廃棄ルールの徹底と申請書等の適切な管理を行う。
(3)ウイルス対策ソフトの導入と未許可ソフトのインストールを禁止する。
(4)端末設置申請・ソフト使用許可等端末使用ルールを厳守する。
(5)ログイン用PWは『複数文字種(英大文字、小文字、数字、記号)混在』で設定とともに定期的な変更を実施し、
システムへのアクセス制御を行う。(システム管理者の指示による変更の実施)
7.その他の措置
・開示要求時の対応
ア.「本人確認」「本人承諾」ができない問合せには絶対に情報開示を行わない。
イ.本人からの開示等の求めがあった場合
原則「個人情報開示等依頼書」「個人情報開示等通知書」を利用しルールに沿って手続きを行うこと。 |