第８章　安全管理措置
第１節　組織的安全管理措置・人的安全管理措置

第２６条（組織体制）当社は、代表取締役が指名する者を事務取扱担当者とする。２　事務取扱担当者が複数いる場合は、そのうち一人を責任者とする。３　事務取扱担当者は、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。４　事務取扱担当者が変更することになる場合、代表取締役は新たに事務取扱担当者となる者を指名するものとする。この場合、従前の事務取扱担当者は新たに事務取扱担当者となる者に対して確実に引継ぎを行うものとする。代表取締役はかかる引継ぎが行われたか否かを確認するものとする。

第２７条（事務取扱担当者の監督）当社は、特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。

第２８条（教育・研修）当社は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者が本規程を遵守するための教育・研修（以下、教育等という。）を企画・運営する責任を負う。２　事務取扱担当者は、本規程を遵守するための教育等を受けなければならない。当該教育等の内容及びスケジュールは、事業年度毎に代表取締役が定める。３　特定個人情報等についての秘密保持に関する事項を就業規則に盛り込むものとする。

第２９条（取扱状況・運用状況の記録）事務取扱担当者は、本規程に基づく運用状況を確認するため、システムログ又は利用実績を記録するものとし、記録する項目は以下のとおりとする。一　特定個人情報ファイルの利用・出力状況の記録二　書類・媒体等の持出しの記録三　特定個人情報ファイルの削除・廃棄記録四　削除・廃棄を委託した場合、これを証明する記録等五　特定個人情報ファイルを情報システムで取り扱う場合は、事務取扱担当者の情報システムの利用状況（ログイン実績、アクセスログ等。）の記録

第３０条（情報漏えい事案等への対応）事務取扱担当者は、特定個人情報の漏えい、滅失又は毀損による事故が発生したことを知った場合又はその可能性が高いと判断した場合は、速やかに代表取締役に報告する。

第３１条（取扱状況の確認）代表取締役は、特定個人情報等の取扱状況について、１年に一回以上の頻度で確認を行うものとする。

第２節　物理的安全管理措置

第３２条（特定個人情報等を取り扱う区域の管理）当社は管理区域及び取扱区域を明確にし、それぞれの区域に対し、次の各号に従い以下の措置を講じる。一　管理区域
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。二　取扱区域
可能な限り壁又は間仕切り等を設置すること、事務取扱担当者以外の者の往来が少ない場所へ座席配置を行うこと、後ろから覗き見される可能性が低い場所への座席配置等をすることなど座席配置を工夫するものとする。

第３３条（機器及び電子媒体等の盗難等の防止）当社は管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止する。

第３４条（電子媒体等を持ち出す場合の漏えい等の防止）当社は特定個人情報等が記録された電子媒体又は書類等の持ち出し（特定個人情報　等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動も含まれる。）は、次に掲げる場合を除き禁止する。なお、「持ち出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等も持ち出しに該当するため、紛失・盗難等に留意するものとする。一　個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合二　行政機関等への法定調書の提出等、当社が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合２　事務取扱担当者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、データの暗号化、パスワードの設定、封緘、目隠しシールの貼付、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。

第３５条（個人番号の削除、機器及び電子媒体等の廃棄）事務取扱担当者は、個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄するものとする。２　前項において、個人番号又は特定個人情報ファイルを削除又は廃棄した場合には、当該記録を残すものとし、削除又は廃棄の作業を委託する場合は、委託先が確実に削除又は廃棄したことについて、証明書等により確認するものとする。３　代表取締役は、事務取扱担当者又は外部委託先が特定個人情報等を削除・廃棄したことを確認するものとする。

第３節　技術的安全管理措置

第３６条（アクセス制御・アクセス者の識別と認証）当社における特定個人情報等へのアクセス制御及びアクセス者の識別と認証は以下のとおりとする。一　特定個人情報等を取り扱う機器を特定し、当該機器を取り扱う事務取扱担当者を限定する。二　機器に標準装備されているユーザー制御機能（ユーザーアカウント制御）により、情報システムを取り扱う事務取扱担当者を限定する。

第３７条（外部からの不正アクセス等の防止）当社は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。一　情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。二　情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する方法。三　導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。四　機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。五　ログ等の分析を定期的に行い、不正アクセス等を検知する方法。

第３８条（情報漏えい等の防止）当社は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システム内に保存されている特定個人情報等の情報漏えい等を防止するものとする。一　通信経路における情報漏えい等の防止策
通信経路の暗号化二　情報システム内に保存されている特定個人情報等の情報漏えい等の防止策
データの暗号化又はパスワードによる保護