安全管理措置

個人情報を扱う組織が、漏えいや紛失を防ぐために具体的に何をしなければならないのか。その法的な要請を一括して指すのが安全管理措置である。個人情報保護法は、個人情報取扱事業者および行政機関等に対し、取り扱う個人データの安全管理のために必要な措置を講じる義務を課す。個人情報保護委員会のガイドラインは、この措置を組織的・人的・物理的・技術的の四つの側面に整理する。組織的措置は責任者の設置や規程の整備、人的措置は従業者の教育・監督、物理的措置は区域管理や機器の盗難防止、技術的措置はアクセス制御や暗号化を指す。あわせて、業務を委託する場合の委託先管理も安全管理措置の一環として求められる。自治体の三層の対策やネットワーク分離も、この義務を技術面で具体化したものといえる。

四つの側面と具体的措置

個人情報保護法は、個人情報取扱事業者・行政機関等に対し、取り扱う個人データの漏えい・滅失・毀損の防止その他の安全管理のために必要な措置を講じることを義務づける。個人情報保護委員会のガイドラインは、講ずべき措置を四つの側面で示す。組織的安全管理措置は、安全管理の責任者・体制の整備、取扱規程の策定、点検・監査の実施を指す。人的安全管理措置は、従業者に対する教育・訓練と監督である。物理的安全管理措置は、取扱区域の入退室管理、機器・媒体の盗難防止、書類・媒体の廃棄方法の管理を含む。技術的安全管理措置は、アクセス制御・アクセス者の識別と認証、不正アクセスからの保護、情報の暗号化などである。これらを組織の規模や取り扱う情報の性質に応じて講じなければならない。

委託先管理と自治体での具体化

安全管理措置の義務は、業務を外部に委託する場合にも及ぶ。個人データの取扱いを委託する事業者・行政機関等は、委託先が自らと同等の安全管理措置を講じるよう、委託先の選定・契約での明確化・実施状況の把握といった必要な監督を行わなければならない（委託先管理）。これを怠って委託先で漏えいが生じれば、委託元の安全管理措置義務違反が問われうる。地方公共団体の情報システムでは、この義務が総務省のガイドラインに基づく三層の対策（マイナンバー利用事務系・LGWAN接続系・インターネット接続系の分離）やネットワーク分離、無害化通信といった技術的・組織的な仕組みとして具体化されている。漏えい等が発生した場合の個人情報保護委員会への報告義務も、安全管理の実効性を担保する仕組みの一つである。