学校生協では、組合員等の個人情報を保護するため、4つの安全管理措置に取り組む他、情報漏洩等が発生した場合の対応を定めます。なお、個人情報保護するため、役職員が遵守すべき主な規程・規約等を以下の通り整備しています。
整備している規程・規約等
・個人番号及び特定個人情報並びに個人情報保護方針
・保険代理店としての個人情報保護方針
・個人情報管理規程
・個人番号及び特定個人情報取扱規程
・個人情報取り扱い規則
・個人情報保護の教育に関する規則
・情報機器管理規程
・電子メール管理規程
・個人情報に関する外部委託管理規則
Ⅰ.安全管理措置
1.組織的安全管理措置
個人情報保護に係る体制(個人情報管理規程 第15条・第16条)は以下の通りです。
2・人的安全管理措置
・ 個人情報保護の教育に関する規則に基づき、定期的な教育研修及び指導の実施
・ 職員との秘密保持に関する誓約書の取り交わし
3.物理的安全管理措置
(1)入退室管理の実施、電子機器及び電子媒体等の盗難防止
・退勤時のセントラル警備保障の施錠
・退勤時の各デスク・キャビネットの施錠
・入退室記録簿の運用
・部外者、来訪者の立入制限
(2)電子媒体等を持ち運ぶ際の漏洩防止
*個人データの暗号化、パスワードによる保護
*事務所管理の電子媒体以外の使用禁止
*施錠できる搬送容器の使用
*書類の封緘等
*外部持ち出し事前承認簿を使用したデータ管理
(3)個人データの削除及び機器・電子媒体・帳票の廃棄
*シュレッダーによる裁断またはこれ相当する裁断方法
*焼却・溶解
*完全なデータ抹消(破壊)
*個人情報保護の取扱いを契約する産業廃棄物処理会社への委託(証明書の取得)
*廃棄書類記録簿の運用
4.技術的安全管理措置
(1)アクセス制御と管理
*ID・パスワード管理
・役職員が使用するPC及びメールには個別ID・パスワードを設定
・一定期間でパスワードを変更
・ID・パスワードの露出・漏洩防止策
*基幹システムのログ管理(入力・変更・削除等を記録)
*マイページの適正管理(プロジェクトメンバーのみ)
(2)外部からの不正アクセス等の防止
*ウイルス対策ソフトウエアの導入
*ファイヤーウォール等の設置及びクラウドエッジによるセキュリティ対策の実施
*定期的なログ解析による不正アクセス等の防止策
(3)情報システムの使用に伴う漏洩等の防止
*スクリーンセーバーの実施
*導入ソフトウエアの適正なバージョンアップ管理
*個人データを含む通信の経路または内容の暗号化
*移送する個人データへのパスワード等による保護
*正規品以外のソフトウエアのダウンロードの禁止
*私的な利用目的のソフトウエアのダウンロードの禁止
Ⅱ.情報漏洩等に係る対応
IPA独立行政法人 情報処理推進機構が定める「情報漏洩発生時の対応ポイント集」を参考に、遅滞なく対応を進め信頼回復に努めます。