第8章　安全管理措置

第26条（組織体制）
特定個人情報の適正な取扱いに関するガイドラインでは、｢責任ある立場の者｣と定められているため、それ相応の立場にある方であれば、必ずしも代表取締役である必要はありません。以後、規程中に「代表取締役」とあるのは、同様に読替えることができます。
情報漏えいのリスク低減のため、特定個人情報を取り扱う者を限定することが重要です。また、選任した者に対して、十分かつ適切な教育を行う必要があります。

第29条（取扱状況・運用状況の記録）
当該記録のシステムで取り扱う情報の種類、量、システムを取り扱う職員の数、点検・監査の頻度等を総合的に勘案し、適切に定めることが重要です。

第30条（情報漏えい事案等への対応）
個人の権利利益を侵害するおそれが大きいものに該当する事案またはそのおそれのある事案が発覚した時点で、速報として直ちに個人情報保護委員会に報告しなければなりません。その後、確報として、個人情報保護委員会に報告する義務があります。

第32条（特定個人情報等を取り扱う区域の管理）
各区域で同じ安全管理措置を講じる必要はなく、それぞれの区域に応じた適切な安全管理措置を講じましょう。
また、入退室管理には入退出管理システム（ICカード、ナンバーキー等）を設置することが望ましいです。

第33条（機器及び電子媒体等の盗難等の防止）
特定個人情報を取り扱う機器、電子媒体又は書類等を、施錠可能なキャビネット・書庫に保管するレベルが求められます。
特定個人情報ファイルを取り扱う情報システムがパソコン等機器のみで運用されている場合は、当該パソコン等機器をセキュリティワイヤー等により固定するレベルが求められます。

第35条（個人番号の削除、機器及び電子媒体等の廃棄）
特定個人情報を扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提としたシステム構築を行うことが望ましいです。
特定個人情報等が記載された書類を廃棄する場合は、焼却又は溶解、復元不可能な程度に細断可能なシュレッダーの利用、個人番号部分を復元できない程度にマスキングする等の復元不可能な手段を採用することが必要です。
特定個人情報等が記載された機器及び電子媒体等を廃棄する場合は、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用することが必要です。また、データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない場合は、「容易に復元できない手段」と考えられます。

第36条（アクセス制御・アクセス者の識別と認証）
（第2号）事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が挙げられます。