2026-01-30 個人情報委託実地検査
- 日時: 2026年1月30日(金)15:00 - 17:00
- 場所: 日コン 応接会議室
事前にいただいたチェック観点を元に、個人情報委託に関する実地検査を実施する。
実地検査の事前準備
Section titled “実地検査の事前準備”(1) 受託者からの提出書類の確認
Section titled “(1) 受託者からの提出書類の確認”以下の書類を確認する:
- 管理責任者報告書
- 個人情報取扱状況報告書
- 緊急時対応計画書
- 教育実施状況記録
- 外部記憶媒体(USBメモリ)使用記録
- 外部記憶媒体の作業エリアへの持込記録
- 作業エリア外への個人情報媒体の持ち出し管理記録
- 削除・廃棄証明書
- 国外取扱申請書
- 再委託申請書
(2) 仕様書の確認
Section titled “(2) 仕様書の確認”(3) 業務フロー図の作成
Section titled “(3) 業務フロー図の作成”個人情報の流れと受託者の取扱状況(入力、編集、分析、出力、運搬、削除)を確認するための業務フロー図を作成する。
フロー図に含めるべき内容:
- 誰が(Who): 受託者名、再委託先名、ASPサービス名
- 処理内容: 印刷、封入、電話受付、発送、システム管理、運用、保守、廃棄
- 受渡方法: 発送、USBメモリ、クラウド経由のファイル共有
(4) 再委託先の確認
Section titled “(4) 再委託先の確認”再委託が適切に報告されていることを確認する。特に、クラウドサービス、ASPサービス、情報システムの管理・運用・保守などの情報システムについては注意が必要。
用語定義:
- ASP(Application Service Provider): アプリケーションサービスプロバイダー
- 個人情報取扱業務の委託: 個人情報の取扱いの全部又は一部を委託すること
実地検査時のチェックポイント
Section titled “実地検査時のチェックポイント”提出書類と業務プロセスに基づき、以下に記載する安全管理措置が実施されていることを確認する。
(1) 組織的安全管理措置
Section titled “(1) 組織的安全管理措置”- 報告されている人員数と実際の人員数に相違がないか
- 作業責任者が適切に作業を管理しているか、作業責任者が不在の場合の手順が整備されているか
- 緊急時対応計画が実践的に運用されているか
- 作業手順書が存在し、内容が適切か
(2) 人的安全管理措置
Section titled “(2) 人的安全管理措置”- 教育資料の確認
- 教育方法や頻度に関するヒアリング
(3) 物理的安全管理措置
Section titled “(3) 物理的安全管理措置”作業場の状況
Section titled “作業場の状況”- 第三者による侵入防止が図られているか
- 適切な作業分離(パーティションの使用など)が行われているか
- 不要な書類が見える状態になっていないか
- 作業スペースが適切な広さか
- 全体的に整理整頓されているか
- 飲食の防止が図られているか
- 無許可の機器(携帯電話、個人PC、私物の記憶媒体)の持ち込みが禁止されているか
- 監視カメラが設置されているか
- 入退室および作業の記録が行われているか
- 録画の保存期間は適切か
情報の保管場所
Section titled “情報の保管場所”- 一時保管場所の管理が適切か
- 長期保管場所の管理が適切か(個人情報媒体は全て施錠可能なキャビネットに保管、他の物品と分離、長期保管場所へのアクセス制御など)
- 作業場から保管場所、または外部(郵便局など)への運搬時に紛失・盗難防止策が講じられているか
USBメモリ(外部記憶媒体)
Section titled “USBメモリ(外部記憶媒体)”- 施錠可能な場所に保管されているか
- アクセス制御が行われているか
- 使用記録が残されているか
- 個人情報以外の用途には専用USBを使用しているか
PCの配置・使用
Section titled “PCの配置・使用”- セキュリティワイヤーが設置されているか
- タブレットは施錠可能な場所に保管されているか
- 画面が外部から見えないか
- 離席時のPCのスクリーンセーバー設定は適切か
- PCのパスワード使用は適切か
シュレッダー
Section titled “シュレッダー”- 適切な場所に配置されているか
- クロスカット機能があるか
- 適切なシュレッダー能力があるか
- 使用記録が残されているか
- 廃棄の通知が適切に行われているか
- マニフェストや最終処分証明書の確認が行われているか
- 保管場所、鍵箱などへのアクセスは許可された者のみか
- 鍵箱のロック番号は人員変更時に変更されているか
(4) 技術的安全管理措置
Section titled “(4) 技術的安全管理措置”システム/PC/ネットワークへのアクセス
Section titled “システム/PC/ネットワークへのアクセス”- 個別のID・パスワードが設定されているか
- PCとアプリケーションで別々のログイン設定が行われているか
- 業務上必要な範囲でのアクセス制限が行われているか
- 操作制限が行われているか
- 退職者のログイン管理が行われているか
- システム管理者の不正行為を監視する仕組みがあるか
- ログの取得が行われているか
- 定期的にログを確認し、不審な操作がないかチェックしているか
- 分析の詳細は適切か
ソフトウェアのバージョン
Section titled “ソフトウェアのバージョン”- 最新バージョンが使用されているか
ウイルス対策ソフト
Section titled “ウイルス対策ソフト”- インストールされているか
USBポートの制御
Section titled “USBポートの制御”- 物理的または技術的に無効化されているか
ファイアウォール設定
Section titled “ファイアウォール設定”- 「有効」になっているか
- IDS/IPS/WAFの導入を推奨
用語定義:
- IDS(Intrusion Detection System): 侵入検知システム
- IPS(Intrusion Prevention System): 侵入防止システム
- WAF(Web Application Firewall): Webアプリケーションファイアウォール
- アクセスポイントで暗号化設定が行われているか
- 脆弱な暗号化方式の認識があるか
クラウドサービス
Section titled “クラウドサービス”- 仕様書と一致しているか
- 海外クラウドサービスの使用が禁止されているか
- ISO/ISMAP認証を取得しているか
用語定義:
- ISO(International Organization for Standardization): 国際標準化機構
- ISMAP(Information system Security Management and Assessment Program): 情報システムセキュリティ管理・評価プログラム
不正アプリケーション
Section titled “不正アプリケーション”- 業務に関係のないアプリケーションがアンインストールされているか
- 特にファイル共有アプリ(P2P)が使用されていないか
用語定義:
- P2P(Peer to Peer): ピアツーピア
情報の複製・転送
Section titled “情報の複製・転送”- 無許可の媒体への複製・転送を防止する管理が行われているか
- 許可された媒体のみに制限されているか
- メール・ファイル転送システムの承認プロセスが適切か
(5) 再委託先の安全管理措置
Section titled “(5) 再委託先の安全管理措置”再委託先の特定
Section titled “再委託先の特定”- 全ての再委託先が特定されているか(コールセンター、クラウド/ASPサービス、システム管理・運用・保守、印刷・運搬、廃棄・溶解など)
再委託先の監督
Section titled “再委託先の監督”- 受託者が再委託先を適切に監督しているか
- 同様の書類を要求しているか
- 再々委託の理解があるか
- 仕様書の遵守を確認しているか
- 実地検査を実施しているか
(検査結果や対応が必要な事項を記載)
(その他、関連する情報や注意事項を記載)