個人識別情報の利用ガイド
Original documentation: 2015-05-29,
and 1st appeared at this website: 2016-03-18 12:44:19.
この文書は、アメリカ国防兵站局(Defense Logistics Agency)が作成した、“Defense Logistics Agency Users Guide to Personally Identifiable Information (PII) (revised in April 2015, PDF) という文書を元に、更に簡潔にまとめ直したものです。もともとは私が所属する企業で使うために作成したものですが、資料としては公表できるものと判断して公開することとしました。もとの文書には自社のマネジメントシステムを反映した表現が幾つかありますが、それらを除いてあります。
同じ文書を「個人識別情報の利用ガイド」として PDF 版も作成してあります。
個人識別情報(PII)とは
個人識別情報(PII, personally identifiable information)とは、或る個人についての学歴、職歴、病歴、犯罪歴だけでなく、その個人を他の個人から区別できる情報や、その個人の行動を追跡しうる情報や、その個人に関連付けできる情報、例えば氏名や社会保険番号、生年月日、出生地、本籍、旧姓、指紋や虹彩や静脈等の生体情報などを含みます。(注:日本の法律で言う「個人情報」は、この個人識別情報を含む、個人について何かを伝えている情報の全体を指しており、氏名や職歴という個々の情報は個人情報とは言いません。)
もし、あなたがプライベートや業務で個人識別情報を誰かから知らされたり、自分の情報をどこかに登録したりするのであれば、あなたには次のような責任があります。
- その情報を、安全に保護すること。
- その情報を、特定の目的だけのために利用すること。
- その情報を、常に正確で最新の内容に保つこと。
- その情報を、規約や契約あるいは法律によって認められた人だけに知らせること。
- その情報を、誤って破棄したり、必要なく使ったり、盗まれたりしたときは、速やかに決められた管理者に報告すること。
情報を安全に保護するための対策
■ IT機器
- ノートパソコンを放置しない。
- ノートパソコンは、使わないときは鍵付きロッカーに入れたり、ロックワイヤーをかける。
- ノートパソコンやモバイル機器の記録デバイスは、全体を暗号化する。
- 周辺機器としてDVDドライブやHDDやUSBメモリなどの記録デバイスを使うときは、あらかじめセキュリティソフトで検査する。
- パスワードをかけたり暗号化せずに、個人識別情報が記録されたファイルを他人に送信したり、記録デバイスに記録しないこと。
- 個人識別情報を含む業務用のファイルは、業務用の機器だけで扱い、プライベートな機器で扱ってはいけない。
- 個人識別情報を含む業務用のファイルを公開された状態のウェブサイトや掲示板にアップロードしない。
■ Eメール
- 個人識別情報を含む業務用のファイルを送受信するときは、パスワードをかけたり暗号化すること。
- 個人識別情報を含む業務用のファイルを添付したときは、その情報が必要な人だけに送られるかどうか、あらかじめ宛先を確認すること。
- 個人識別情報を含む業務用のファイルを添付したときは、そのファイルの中身が正しいかどうか、あらかじめ確認すること。
- 個人識別情報を含む業務用のファイルを添付したときは、件名や本文で取り扱いに注意を促すよう相手に警告すること。
■ 書籍やコピーやファクシミリ等の印刷物
- 複合機などで個人識別情報を印刷するときは、あらかじめ出力先のプリンタを確認すること。
- 個人識別情報を印刷したときは、出力されたものを全て速やかに回収し、放置しないこと。
- ファクシミリで送信するときは、正しい宛先かどうか、あらかじめ確認すること。
- 印刷した個人識別情報を郵送する場合は、外から中身が読み取れないように厚手の封筒を使ったり、印刷物を別の紙で保護すること。
- 印刷した個人識別情報を鞄等に入れて持ち歩くときは、紛失や盗難に気を付けて携行し、車内等に鞄を置かないこと。
■ 廃棄
- 個人識別情報を含む印刷物あるいは DVD 等の記録メディアを廃棄するときは、シュレッダーにかけたり焼却したりすること。
- 廃棄の方法は、個人識別情報が復元不可能になるかどうかを考えて選ぶこと。
- 個人識別情報が含まれる書類や記録メディアをゴミ箱へそのまま放り込んだりしないこと。
- 個人識別情報が含まれる書類や記録メディアを廃棄したときは、廃棄した記録をとること。
■ ネットワーク経由のファイルサーバ
- 個人識別情報が含まれるデータへアクセスできる者を、限定すること。
■ インシデント(事故)が起きた時の報告
- 個人識別情報が含まれるデータや印刷物を間違って破棄したり盗まれたり紛失したときは、必ず報告すること。