第６章　安全管理措置

第１節　総則

第１８条（安全管理措置）会社は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの適切な管理のために必要な安全管理措置を講ずる。

第2節　組織的安全管理措置及び人的安全管理措置

第１９条（個人情報保護管理者）会社は、個人データの安全管理措置の実施に関する責任者として、個人情報保護管理者を１名置くものとし、役員より選任する。２　個人情報保護管理者は、次の各号の権限と責任を有する。一　個人データの取扱いの統括二　個人データが当社諸規程に基づき適正に取り扱われるよう、従業者に対する必要かつ適切な監督を行うこと三　個人データの保護に関する意識を高めるための従業者に対する啓発その他の教育研修の実施四　個人データの取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合の対応五　第４章に規定する保有個人データに関する事項の通知等の手続の決定六　第８章に規定する苦情処理のために必要な体制の整備３　個人情報保護管理者は、従業者より個人情報保護管理者の業務を補佐する者を選任し、個人情報保護管理者を責任者として、会社における個人データの取扱いを監督する管理委員会を設置することができる。

第２０条（個人情報取扱責任者）会社は、個人データの取扱いの管理に関する事項を行うために必要な知識及び経験を有していると認められる従業者のうちから個人情報取扱責任者（以下「取扱責任者」という。）を置く。２　取扱責任者と個人情報保護管理者は、兼ねることができる。３　取扱責任者は、次の各号の権限と責任を有する。一　個人データの取得、利用、保存、提供又は消去・廃棄等の作業を担当する従業者に対する必要かつ適切な監督二　個人データの取扱状況の記録及びその管理三　個人データの取扱いを外部に委託する場合の委託先の選定、委託契約締結の承認、委託先における個人データの取扱状況の把握４　取扱責任者は、個人データの取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合、当社役員及び個人情報保護管理者に報告しなければならない。

第２１条（部門長の責務）部門長は、当該部門における個人データを適切に管理する任に当たる。２　部門長は、当該部門における個人データの取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合は、直ちに取扱責任者又は個人情報保護管理者に報告しなければならない。

第２２条（従業者の責務）従業者は、個人情報に関連する法令及び当社諸規程並びに個人情報保護管理者その他の上長の指示に従って、個人情報を取り扱わなければならない。２　従業者は、会社が管理する個人情報について、会社の業務に従事している間だけでなく、退職後も、他の従業者又は会社外の者その他の第三者に開示漏えいしてはならず、自己のため又は第三者のために使用してはならない。３　会社は、従業者に対して、個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。４　従業者は、会社が決定した方針に基づく研修を受けなければならない。５　従業者は、個人データの取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合、直ちに部門長、取扱責任者又は個人情報保護管理者に報告しなければならない。

第２３条（個人情報監査責任者）会社は、個人情報監査責任者（以下「監査責任者」という。）を置く。２　監査責任者は、会社における個人データの管理の状況について監査する任に当たる。

第２４条（監査の実施）監査責任者は、個人データの取扱状況を定期的に点検し、個人データの取扱いが適法かつ適切に行われているかについて監査する。２　監査責任者は、前項の監査の結果を取りまとめ、これを当社代表者及び個人情報保護管理者に報告する。

第２５条（見直し）個人情報保護管理者は、前条の監査の結果のほか、個人情報の取扱いに関する法令の制定・改正及び社会情勢の変化等に応じて、定期的に安全管理措置の見直し及び改善を行う。

第２６条（事故等への対処）個人情報保護管理者は、個人データの取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生を確認した場合は、当該情報の性質及び被害の程度を勘案し、以下の対処の実施を検討する。一　事業者内部における報告及び被害の拡大防止二　事実調査及び原因の究明三　影響範囲の特定四　再発防止策の検討及び実施五　影響を受ける可能性のある本人への連絡六　事実関係及び再発防止策等の公表七　個人情報保護委員会への報告

第２７条（監督及び教育研修）会社は、個人データが当社諸規程に基づき適正に取り扱われるよう、個人データの取得、利用、保存、提供又は消去・廃棄等の作業を担当する従業者に対する必要かつ適切な監督を行う。２　会社は、個人情報の取扱いに関する当社諸規程を従業者に遵守させ、個人データの適正な取扱いに関する従業者の意識を高めるための啓発その他の教育研修を実施する。

第3節　物理的安全管理措置

第２８条（個人データを取り扱う区域の管理）会社は管理区域及び取扱区域を明確にし、それぞれの区域に対し、次の各号に従い以下の措置を講じる。一　管理区域
入退室管理 及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。二　取扱区域
可能な限り壁又は間仕切り等を設置すること、個人データの取得、利用、保存、提供又は消去・廃棄等の作業を担当する従業者以外の者の往来が少ない場所へ座席配置を行うこと、後ろから覗き見される可能性が低い場所への座席配置等をすることなど座席配置を工夫するものとする。

第２９条（機器及び電子媒体等の盗難等の防止）会社は管理区域及び取扱区域における個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。一　個人データを取扱う機器、電子媒体又は書籍等を、施錠できるキャビネット・書庫等に保管する。二　個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する

第３０条（電子媒体等を持ち運ぶ場合の漏えい等の防止）会社は個人データが記録された電子媒体又は書類等の持ち出し（個人データを、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等も含まれる。）は、次に掲げる場合を除き禁止する。なお、「持ち出し」とは、個人データを、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等も持ち出しに該当するものとする。一　個人データに係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合。二　利用目的の範囲で個人データを利用する場合。２　前項により個人データが記録された電子媒体又は書類等の持ち運びを行う場合には、データの暗号化、パスワードの設定、封緘、目隠しシールの貼付、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。

第３１条（個人データの削除及び機器、電子媒体等の廃棄）個人データを廃棄・削除する段階においては、個人データを焼却、裁断、磁気的消去等の方法により、外部流出等の危険を防止するための方策を講じた上で、削除又は廃棄をするものとする。

第4節　技術的安全管理措置

第３２条（アクセス制御）個人データへのアクセス制御及びアクセス者の識別と認証は以下のとおりとする。一　個人データを取り扱う機器を特定し、当該機器を取り扱う者を限定する。二　機器に標準装備されているユーザー制御機能（ユーザーアカウント制御）により、情報システムを取り扱う者を限定する。

第３３条（外部からの不正アクセス等の防止）会社は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。 一　情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法二　情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する方法三　導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法四　機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法五　ログ等の分析を定期的に行い、不正アクセス等を検知する方法

第３４条（情報漏えい等の防止）会社は、個人データの含まれるファイルをインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システム内に保存されている個人データの情報漏えい等を防止するものとする。一　通信経路における情報漏えい等の防止策
通信経路の暗号化二　情報システム内に保存されている個人データの情報漏えい等の防止策
データの暗号化又はパスワードによる保護

第5節　委託先の監督

第３５条（委託先の監督）会社が個人データの取扱いを外部に委託する場合は、当該委託において取扱う個人データの安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。