ウェブリ/ブログログイン

]

トップ  プロフ  フレンド  サークル

昨年の4月に個人情報保護法が施行されて以来、連絡網も作れないほど情報提供に関しては過剰な反応を示しながら、情報管理についてはお粗末な事例が数多く報道されています。 指定管理者制度の導入にあたって自治体は個人情報の取り扱いについてかなり気にしています。多くの自治体で独自の個人情報保護に関する条例等があり、それを遵守することは指定管理者として最低限のマナーでしょう。 応募資格に「プライバシーマーク」の取得は義務付けられていることはまずありませんが、個人情報保護法に関連しての経済産業省のガイドラインは意識する必要があります。 個人情報の保護に関する法律 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（告示）(PDF形式：728KB) 指定管理者が管理運営している施設のＷＥＢサイトにおいてプライバシーポリシーが確認できないサイトが少なからず存在します。それならまだしも個人情報を収集するのに収集目的を記載していなかったり、暗号化していなかったりとお粗末なものがあります。 指定管理者の応募の提案書には「個人情報保護法を遵守します」ということを書いているのでしょうけれど、取り組むべき範囲を把握できていないのかもしれません。 個人情報を取り扱う施設として何をするべきかの再点検が望まれます。 そのうえでまずは個人情報保護についての職員の意識レベルの向上を図りその状態を継続することが必要です。これは完全に指定管理者の責任の範疇です。 前述のガイドラインの次の部分です。 経済産業省のガイドラインによる情報セキュリティ ■組織的安全管理措置 （組織的安全管理措置として望まれる事項） ・個人データの安全管理措置を講じるための組織体制の整備 ・個人データの安全管理措置を定める規程等の整備と運用 ・個人データの台帳の整備 ・個人データの安全管理措置の評価、見直し及び改善 ・事故､または違反への対処 （個人データの取扱に関する規程等に記載されることが望まれる事項） ・取得・入力 ・移送・送信 ・利用・加工 ・保管・バックアップ ・消去・廃棄 ■人的安全管理措置 （人的安全管理措置として望まれる事項） ・雇用及び契約時における非開示契約の締結 ・従業者に対する教育・訓練の実施 ■技術的安全管理措置 （技術的安全管理措置として望まれる事項） ・個人データへのアクセスにおける識別と認証 ・個人データへのアクセス制御 ・個人データへのアクセス権限の管理 ・個人データのアクセス記録 ・個人データを取り扱う情報システムに対する不正ソフトウエア対策 ・個人データの移送・通信時の対策 ・個人データを取り扱う情報システムの動作確認時の対策 ・個人データを取り扱う情報システムの監視 そのうえで設備や機器類についての点検を行います。これについては指定管理者だけでなく自治体が関与する必要がある場合も想定されます。 ガイドラインの中の下記についてです。 ■物理的安全管理措置 （物理的安全管理措置として望まれる事項） ・入退館（室）管理の実施 ・機器・装置等の物理的な保護 指定管理者募集に応募するに当たっては、その施設で取り扱われている個人情報について把握しておくようにしてください。そのうえで可能なら現状のセキュリティホールを確認し対応策を提案書に記載することをオススメします。 個人情報保護に関してはさまざまな認定資格制度があります。提案に際して少額の投資で効果かも知れません。 <提案書記載例> ・当社は○○センターの指定管理業務の実施おいて個人情報を取り扱う場合には、△△市の個人情報保護条例及び個人情報保護法を遵守いたします。 ・個人情報の取り扱いについては「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（告示）」に沿った運用をいたします。 ・センター長候補者は「個人情報管理者」の講習を、また窓口担当者には「個人情報取扱者」の講習を受講することを義務付けます。 個人情報保護マネジメントシステム実践マニュアル―JIS Q 15001:2006対応 個人情報保護マネジメントシステム実践マニュアル―JIS Q 15001:2006対応

<< 前記事（2006/12/01）

トップへ

後記事（2006/12/05）>>

<< 前記事（2006/12/01）

トップへ

後記事（2006/12/05）>>