総務省では、先般発生した民間企業における個人情報の大量流出事案を踏まえ、「行政機関の保有する個人情報の適切な管理のための措置に関する指針」(平成16年9月14日総管情第84号総務省行政管理局長通知)及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」(平成16年9月14日総管情第85号総務省行政管理局長通知)の改正を行いました。
主な改正点は、情報システムの安全確保、情報システム室等の安全管理、業務の委託に係る措置等の強化です。
1.改正の目的等
総務省では、保有個人情報についての管理体制、教育研修、情報システムにおける安全の確保、情報システム室等の安全管理、業務の委託、監査・点検等について規定する指針(注)を定めております。
先般発生した民間企業における個人情報の大量流出事案を踏まえ、総務省では、行政機関及び独立行政法人等において同様の事案が発生することを防止する観点から、指針の改正を行いました。
(注)「行政機関の保有する個人情報の適切な管理のための措置に関する指針」(平成16年9月14日総管情第84号総務省行政管理局長通知)及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」(平成16年9月14日総管情第85号総務省行政管理局長通知)について
「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)において、行政機関等個人情報保護法の適切な運用のため、総務省は、行政機関・独立行政法人等が保有する個人情報の適切な管理に関する指針を策定することとされており、各行政機関・独立行政法人等は、その指針を参考に、その保有する個人情報の取扱いの実情に即した個人情報の適切な管理に関する定め(規程)を整備することとされています。
2.主な改正点
(1)情報システムにおける安全確保の強化
・ 保有個人情報への不適切なアクセスの監視のため、一定数以上の保有個人情報がダウンロードされた場合に警告表示がなされる機能の設定等の必要な措置を講ずる旨を追記。(指針第6-5)
・ 情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずる旨を追記。(第6-6)
・ スマートフォン、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(注)(当該機器の更新への対応を含む。)等の必要な措置を講ずる旨を追記。(第6-17)
(注)「制限」の内容としては、保有個人情報の秘匿性等その内容に応じて、例えば、「使用そのものを禁止する」、「使用を府省庁支給のものに限定し、私物USB等は禁止する」等の措置があります。
(2)情報システム室等の安全管理の強化
・ 情報システム室等に部外者が立ち入る場合の措置として、監視設備による監視を追記するとともに、情報システム室等への機器の持込み、利用及び持ち出しの制限並びに検査等の措置を講ずる旨を追記。(第7-1)
(3)業務の委託に係る措置の強化
・ 契約書記載事項として「目的外利用の禁止」、再委託に係る「事前承認」、契約に違反した場合における「損害賠償責任」を追記。(第8-4)
・ 委託先における個人情報の管理の状況について、年1回以上の定期的検査等により確認する旨を追記。(第8-5)
・ 保有個人情報の取扱いに係る業務が再委託される場合には、委託先に対し、自らが委託する場合と同様の措置を講じさせること等を追記。(第8-6)
3. 指針改正を踏まえた規程見直しの要請について
今般の指針改正に併せ、総務省では、各行政機関・独立行政法人等に対して、平成26年度末を目途として、指針改正を踏まえた各規程の見直しを行うことを要請したところです。
(参考資料)
(参考1)新旧対照表(行政機関・独立行政法人等)【
PDF】
(参考2)局長通知[一部改正](行政機関・独立行政法人等)【
PDF】
(注)(参考2)第6の第8及び第17中、「き損」とあるのは、正しくは「毀損」であるため修正しました(平成27年3月16日)
