USBメモリ紛失事案で個人情報保護委員会が注意喚起
個人情報保護委員会は尼崎市のUSBメモリ紛失事案が社会的に大きな問題となっていることを受けて、個人データの適正な取扱いについて注意喚起を行いました。
尼崎市で問題視された個人情報を保管したUSBメモリの輸送手段や再委託について述べられています。
■安全管理措置(法第23条)
個人情報を取り扱う事業者は個人情報を安全に管理する義務があり、以下のような安全管理策を実施するよう注意喚起がなされています。
・個人情報をUSBメモリ等で取り扱う場合は、盗難又は紛失等を防止するために、施錠できるキャビネット又は書庫等の定められた場所で適切な管理を行うこと
・USBメモリ等で持ち運ぶ場合は、業務上必要な場所に限るなど適切な管理を行うこと
・容易に個人データが判明しないよう、暗号化、パスワードによる保護等を行った上で保存すること
・施錠可能な搬送容器を利用するなどの安全な方策を講じること
・電子媒体の持ち運びの状況等を記録すること
■従業者の監督(法第24条)
個人情報を直接操作する作業者単独で作業するのではなく、監督責任について注意喚起がなされています。
・従業者に個人データを取り扱わせる場合、社内規程等に従って業務を行っていることを監督すること
■委託先の監督(法第25条)
万が一他社に委託する場合には、自社と同等の安全管理策が実施出来る能力があるかを評価し、監督する義務があると述べられています。
・個人情報の取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うこと
・委託する場合には委託先が自らが行う安全管理措置と同等の措置が講じられるよう、監督すること
・委託先が再委託を行う場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人情報の取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して法第25条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい
■それでもUSBメモリを人で管理しますか?
業務上の制約からネットワークに繋がないようになっているためUSBメモリをデータ移動手段として利用しているという話は良く耳にします。ただ、USBメモリは小型で持ち運びが便利な反面、小さくて失くしやすいのも事実です。
こういった性質のデバイスを「人まかせ」で管理していてはいずれ問題は起きてしまいます。
それでもUSBメモリを利用し続けなければならないとするのなら、人に依存した管理ではなくUSBメモリを安全に利用する技術の採用を検討してみることを推奨します。