個人情報保護法方針について
(個人データの安全管理に係る基本方針)
@個人情報取扱事業者の名称
株式会社 萬谷
A当社は、従業者に対して、個人データの安全管理についての教育・訓練を行い、日常業務における個人データの適正な取扱いを徹底いたします。
B当社は、個人情報の適正な管理のため、「個人データ管理責任者」及び「個人データ管理者」を設置しています。
C当社は、個人データの安全管理に関する法令、ガイドライン等を遵守いたします。
D当社は、個人データの安全管理措置に関する質問及び苦情を次の窓口で受け付け、速やかに回答・処理いたします。
株式会社 萬谷
山形県酒田市中町3-7-33
電話番号0234-23-2222
E当社は、この基本方針の継続的な改善に努めます。
(個人情報の利用目的)
当社の取得または保有する個人情報は、次の目的のみに利用するものとする。
@返済能力の調査
A与信並びに与信後の権利の保存、管理、変更及び権利行使
B本籍地に関する情報については、借主(債務者)確認及び所在確認
C与信後の権利に関する債権譲渡等の処分および担保差入れ
D取引及び交渉経過その他の事実に関する記録保存
E市場調査及び分析並びに金融商品及びサービス研究及び開発
F商品及びサービスの案内
G個人信用情報機関への提供
(個人データの安全管理に係る取扱規程)
[取得・入力]
@個人データ管理者の役割・責任
個人情報の保護に係る取扱い全般についての統括
個人情報の保護に係る取扱いに関する規程類、管理体制の整備
個人情報の取扱いに係る苦情・問合せ・漏えい事故発生時の対応とデータ管理責任者への報告
個人情報の保護に係る取扱いに関して必要な施策の実施、改善
A取扱者の限定
当社の個人データ取扱者は個人データ管理者に限定する。
B取得・入力の対象となる個人データの限定
個人情報の取得に当たっては、取得の状況からみて利用目的が明らかであると認められる場合を除き、あらかじめ目的を特定して、その目的の達成に必要な限度において行わなければならない。
[利用・加工]
個人情報の利用は、業務の遂行上必要な範囲内においてのみ行わなければならない。
業務上、個人データの加工を必要とする場合には、目的を達成した後は当該加工したデータを消去しなければならない。
[保管・保存]
台帳・申込書等の個人情報を記載した書面の保管・管理等は、個人データ管理者が責任をもってこれを行わなければならない。
[移送・送信]
個人データの移送・送信は、外部流出等の危険を防止するため、業務上必要な範囲内で必要・適切な方法により行わなければならない。
管理台帳を設け記録をつけなければならない。
[消去・廃棄]
個人データ消去・廃棄については、管理台帳を設け記録しなければならない。
(個人データの取扱状況の点検に係る規程)
当社は、個人データ取扱部署が単一である為、点検により監査を代替するものとする
@点検の目的
当社が取扱う個人情報の保護を適正に管理する為に、個人情報保護に関する措置が適切に行われているかどうかについて、少なくとも年1回は点検を実施し、その結果をデータ管理責任者へ報告しなければならないものとする。
A点検の実施部署
個人データ管理責任者は、個人データを取扱う個人データ管理者(以下“点検担当者”という)に自ら点検を実施するよう指示しなければならない。
B点検担当者の役割・責任
点検担当者は、データ管理責任者の指示に基づいて確実に点検を実施しなければならない。点検担当者は、点検により個人データの取扱いが不適切であった事案を発見した場合には、データ管理責任者に報告しなければならない。
C点検に関する手続き
a.利用目的を特定のうえ、本人に通知はしているかの書面確認
b.保有個人データと管理台帳、各書類の内容確認
c.保有個人データの紛失は無いかの確認
d.取得した個人データは、どの媒体(電子情報,紙情報など)で保管しているか
e.個人情報の漏えいや滅失等がないかの確認
f.個人データ管理者以外がデータを取り扱った形跡が無いか確認
g.苦情があった場合の内容と対応の確認
h.点検の結果、是正が必要であるときは、データ管理責任者に報告し、その見直しの措置を講ずる
i.点検の都度に「点検報告書」を作成する
(外部委託に係る規程の整備)
当社は、外部委託は行わないものとする。
(個人データの安全管理に係る取扱規程に従った運用)
当社は「個人データの安全管理に係る取扱規程に従った運用」として個人データの安全管理に係る取扱規程に従った体制を整備し、当該取扱規程に従った運用を行うとともに、取扱規程に規定する事項の遵守状況の記録及び確認を行うものとする。
(個人データの取扱状況を確認できる手段の整備)
当社は「個人データの取扱状況を確認できる手段の整備」として、次に掲げる事項を含む台帳等を整備するものとする。
@取得項目
A利用目的
B保管場所・保管方法・保管期限
Cアクセス制御の状況
(漏えい事案等に対応する体制の整備)
当社は、漏えい事案等への対応の段階における取扱規程において、次に掲げる事項を定めるものとする。
@ 対応者の役割・責任
個人データ管理者は、情報漏えい等の事故が発生した場合は、速やかに個人データ管理責任者へ状況報告を行う。
A 漏えい事案等の影響・原因等に関する調査手続き
個人データ管理責任者および個人データ管理者は、 漏えい事案等の影響・原因等に関する調査を行い、その経緯の記録をしておくものとする。
B再発防止策・事後対策の検討に関する手続き
個人データ管理責任者および個人データ管理者は、再発防止策・事後対策の検討を行い、その経緯の記録をしておくものとする。再発しないよう対策を立て業務にあたらなくてはならない。
C自社内外への報告体制
当社は、自社内外への報告体制を整備するとともに、漏えい事案等が発生した場合には、次に掲げる事項を実施するものとする。
a.監督当局等への報告
漏えい事案等が生じた場合は、速やかに事実関係を調査し、その結果を貸金業協会及び監督当局、その他所属する協会や加盟機関へ報告しなければならない。
b.本人への通知等
漏えい事案等が生じた場合は、漏えいの対象となった本人に対し、速やかに事実関係等を通知しなければならない。
c.二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の一般への早急な公表 漏えい事案等が生じた場合は、店頭への掲示等を通じて事実関係を速やかに一般に公表しなければならない。
(従業者との個人データの非開示契約等の締結)
当社は「従業者との個人データの非開示契約等の締結」として、採用時に従業者と個人データの非開示契約等を締結するものとする。
(従業者の役割・責任等の明確化)
当社は「従業者の役割・責任等の明確化」として、次に掲げる措置を講じるものとする。
@各管理段階における個人データの取り扱いに関する従業者の役割・責任の明確化
「個人データの管理責任者」は次の役務を行うものとする。
a.個人データの安全管理に関する規程の承認及び周知
b.個人データ管理者の任命
c.個人データ管理者からの報告及び助言・指導
d.個人データの安全管理に関する教育・研修の企画
e.その他、個人データの安全管理に関すること
「個人データ管理者」は次の役務を行うものとする。
a.個人データの利用申請の記録等の管理
b.個人データを取扱う保管媒体の設置場所の指定及び変更等
c.個人データの管理区分の設定及び変更の管理
d.個人データの取扱状況の把握
e.個人データ管理責任者に対する報告
f.その他、個人データの安全管理に関すること
A個人データの管理区分及びアクセス権限の設定
個人データの管理およびアクセス権限は「個人データ管理者」に限定するものとする。
B違反時の懲戒処分を定めた就業規則等の整備
「個人データの非開示契約書等」に違反時の懲戒処分を定めた就業規則を設定するものとする。
C必要に応じた規程等の見直し規定の見直しが必要な場合は、「個人データの管理責任者」および「個人データ管理者」で対応するものとする。
(従業者への安全管理措置の周知徹底、教育及び訓練)
当社は「従業者への安全管理措置の周知徹底、教育及び訓練」として、次に掲げる措置を講じるものとする。
@従業者に対する採用時の教育及び定期的な教育・訓練
個人データ取扱部署が単一である為、全従業員に個人データの教育・訓練を行うのではなく、個人データを取り扱う従業員に限定して行うものとする。
A個人データ管理者に対する教育・訓練
当社の個人データ管理者は、定期的に開催される『認定講習会』を受講し、常に法的に沿った手段で個人データを取扱うものとする。
B個人データの安全管理に係る就業規則等に違反した場合の懲戒処分の周知
就業規則を常に閲覧できる環境におくことで、違反した場合の懲戒処分の内容を周知させるものとする。
C従業者に対する教育・訓練の評価及び定期的な見直し
個人データ取扱部署が単一である為、全従業員に個人データの教育・訓練を行うのではなく「個人データ管理者」の立場にある従業員のみに行うものとし、その内容を定期的に見直し、向上心をもって業務に励むこととする。
(盗難防止、機器装置等を保護する体制の整備)
@個人データを登録するパソコンは、パスワード設定などにより担当以外の者が操作できないようにしなければならない。また、ノート型パソコンを使用している場合は、施錠可能(金庫)な場所で保管し、盗難等を防止しなければならない。
A個人データを登録するパソコンは、外部からアクセス不可能な状態で管理し、またウイルス対策のソフトを活用し個人データの破損等の防止をしなければならない。
B個入データをメモリースティック等により記録し保管する場合は、施錠可能な場所(金庫)で管理し、盗難等を防止しなければならない。
C信用情報機関専用端末の操作マニュアルやパスワードの記載された書面などは、個人データ管理者が施錠し管理しなければならない。
D信用情報機関専用端末から出力された回答シートは、保管方法や保管期限を取決め管理しなければならない。
また台帳等への転記後、回答シートを廃棄する場合は、原形をとどめない状態で廃棄(シュレッダー)しなければならない。
E信用情報機関専用端末は地震等による転倒の危惧がある場所に設置してはならない。また、防水の及ばない場所に設置するものとする。
F業務を終了する場合は、信用情報機関専用端末を終了させ、施錠可能な場所に保管しなければならない。
G個入データの保管されている什器備品の鍵は、原則として金庫保管しなければならない。敷地外の持出しは厳禁とする。
(個人データの利用者の識別及び認証)
当社は、「個人データの利用者の識別及び認証」として、次に掲げる措置を講じなければならない。
@本人確認機能の整備
限定されたID・パスワードの適切な管理
A本人確認に関する情報の不正使用防止機能の整備
限定されたID・パスワードの適切な管理
B本人確認に関する情報が他人に知られないための対策
定期的にID・パスワードの変更と適切な管理
(個人データの管理区分の設定及びアクセス制御)
当社は、「個人データの管理区分の設定及びアクセス制御」として、次に掲げる措置を講じるものとする。
@従業者の役割・責任に応じた管理区分及びアクセス権限の設定
個人データの管理およびアクセス権限は「個人データ管理者」に限定するものとする。
A事業者内部における権限外者に対するアクセス制御
信用情報機関専用端末は、単独回線で接続し、ID・パスワード管理により特定の担当者以外の者が操作できないようにするものとする。
B外部からの不正アクセスの防止措置
フィルタリング機能・監視機能の導入・管理で防御するのもとする。
当社は、「外部からの不正アクセスの防止措置」として、次に掲げる措置を講じるものとする。
@アクセス可能な通信経路の限定
信用情報機関専用端末は、単独回線で接続し、通信経路の限定を行うものとする。
A外部ネットワークからの不正侵入防止機能の整備
ウイルス対策ソフト導入で防御するのもとする。
B不正アクセスの監視機能の整備
ウイルス対策ソフト導入で防御するのもとする。
Cネットワークによるアクセス制御機能の整備
ウイルス対策ソフト導入で防御するのもとする。
(個人データへのアクセス権限の管理)
当社は「個人データへのアクセス権限の管理」として、次に掲げる措置を講じるものとする。
@従業者に対する個人データへのアクセス権限の適切な付与及び見直し
担当者を選定し、取扱者の限定をしなければならない。且つ担当以外の業務において個人情報を取扱してはならないものとし、見直しの必要がある場合は充分な状況確認後に対応するものとする。
A従業者に付与するアクセス権限を必要最小限に限定すること。
貸金業務以外において、個人情報を取扱してはならないものとする。
(個人データの漏えい・き損等防止策)
当社は「個人データの漏えい・き損等防止策」として、個人データの保護策を講ずる事とともに、障害発生時の技術的対応・復旧手続を整備するものとする。
[個人データ保護策]
@蓄積データの漏えい防止策
信用情報機関専用端末は、ID・パスワード管理により特定の担当者以外の者が操作できないようにする。
A伝送データの漏えい防止策
当社は漏えい防止のため、データの伝送は行わないものとする。
Bコンピュータウイルス等不正プログラムへの防御対策
ウイルス対策ソフト導入で防御するのもとする。
[障害発生時の技術的対応・復旧手続の整備]
@不正アクセスの発生に備えた対応・復旧手続の整備
業務終了の際には、必ずデータを上書き保存してから信用情報機関専用端末を終了させ、常に最新のデータを保存するようにするものとする。
Aコンピュータウイルス等不正プログラムによる被害時の対策
監視機能の導入と管理の徹底を行う。
Bリカバリ機能の整備
データやソフトウェアのバックアップ、リカバリ機能の導入・管理
(個人データへのアクセスの記録及び分析)
当社は、管理台帳へ個人データへのアクセスを記録するとともに、当該記録の分析・保存を行うものとする。
(個人データを取り扱う情報システムの稼動状況の記録及び分析)
当社は、個人データを取り扱う情報システムの稼動状況を記録するとともに、当該記録の分析・保存を行うものとする。
(個人データを取り扱う情報システムの監視及び監査)
当社は、個人データを取り扱う情報システムの利用状況及び個人データへのアクセス状況を監視するとともに、監視状況についての点検及び監査を行うものとする。
@個人データ管理者は定期的に個人データの利用状況をまとめ、個人データ管理責任者へ報告書として書面にて報告するものとする。
A個人データ管理責任者は、報告書の内容に問題点がないか定期的に監査する。
(個人データの安全管理に係る基本方針)
@個人情報取扱事業者の名称
株式会社 萬谷
A当社は、従業者に対して、個人データの安全管理についての教育・訓練を行い、日常業務における個人データの適正な取扱いを徹底いたします。
B当社は、個人情報の適正な管理のため、「個人データ管理責任者」及び「個人データ管理者」を設置しています。
C当社は、個人データの安全管理に関する法令、ガイドライン等を遵守いたします。
D当社は、個人データの安全管理措置に関する質問及び苦情を次の窓口で受け付け、速やかに回答・処理いたします。
株式会社 萬谷
山形県酒田市中町3-7-33
電話番号0234-23-2222
E当社は、この基本方針の継続的な改善に努めます。
(個人情報の利用目的)
当社の取得または保有する個人情報は、次の目的のみに利用するものとする。
@返済能力の調査
A与信並びに与信後の権利の保存、管理、変更及び権利行使
B本籍地に関する情報については、借主(債務者)確認及び所在確認
C与信後の権利に関する債権譲渡等の処分および担保差入れ
D取引及び交渉経過その他の事実に関する記録保存
E市場調査及び分析並びに金融商品及びサービス研究及び開発
F商品及びサービスの案内
G個人信用情報機関への提供
(個人データの安全管理に係る取扱規程)
[取得・入力]
@個人データ管理者の役割・責任
個人情報の保護に係る取扱い全般についての統括
個人情報の保護に係る取扱いに関する規程類、管理体制の整備
個人情報の取扱いに係る苦情・問合せ・漏えい事故発生時の対応とデータ管理責任者への報告
個人情報の保護に係る取扱いに関して必要な施策の実施、改善
A取扱者の限定
当社の個人データ取扱者は個人データ管理者に限定する。
B取得・入力の対象となる個人データの限定
個人情報の取得に当たっては、取得の状況からみて利用目的が明らかであると認められる場合を除き、あらかじめ目的を特定して、その目的の達成に必要な限度において行わなければならない。
[利用・加工]
個人情報の利用は、業務の遂行上必要な範囲内においてのみ行わなければならない。
業務上、個人データの加工を必要とする場合には、目的を達成した後は当該加工したデータを消去しなければならない。
[保管・保存]
台帳・申込書等の個人情報を記載した書面の保管・管理等は、個人データ管理者が責任をもってこれを行わなければならない。
[移送・送信]
個人データの移送・送信は、外部流出等の危険を防止するため、業務上必要な範囲内で必要・適切な方法により行わなければならない。
管理台帳を設け記録をつけなければならない。
[消去・廃棄]
個人データ消去・廃棄については、管理台帳を設け記録しなければならない。
(個人データの取扱状況の点検に係る規程)
当社は、個人データ取扱部署が単一である為、点検により監査を代替するものとする
@点検の目的
当社が取扱う個人情報の保護を適正に管理する為に、個人情報保護に関する措置が適切に行われているかどうかについて、少なくとも年1回は点検を実施し、その結果をデータ管理責任者へ報告しなければならないものとする。
A点検の実施部署
個人データ管理責任者は、個人データを取扱う個人データ管理者(以下“点検担当者”という)に自ら点検を実施するよう指示しなければならない。
B点検担当者の役割・責任
点検担当者は、データ管理責任者の指示に基づいて確実に点検を実施しなければならない。点検担当者は、点検により個人データの取扱いが不適切であった事案を発見した場合には、データ管理責任者に報告しなければならない。
C点検に関する手続き
a.利用目的を特定のうえ、本人に通知はしているかの書面確認
b.保有個人データと管理台帳、各書類の内容確認
c.保有個人データの紛失は無いかの確認
d.取得した個人データは、どの媒体(電子情報,紙情報など)で保管しているか
e.個人情報の漏えいや滅失等がないかの確認
f.個人データ管理者以外がデータを取り扱った形跡が無いか確認
g.苦情があった場合の内容と対応の確認
h.点検の結果、是正が必要であるときは、データ管理責任者に報告し、その見直しの措置を講ずる
i.点検の都度に「点検報告書」を作成する
(外部委託に係る規程の整備)
当社は、外部委託は行わないものとする。
(個人データの安全管理に係る取扱規程に従った運用)
当社は「個人データの安全管理に係る取扱規程に従った運用」として個人データの安全管理に係る取扱規程に従った体制を整備し、当該取扱規程に従った運用を行うとともに、取扱規程に規定する事項の遵守状況の記録及び確認を行うものとする。
(個人データの取扱状況を確認できる手段の整備)
当社は「個人データの取扱状況を確認できる手段の整備」として、次に掲げる事項を含む台帳等を整備するものとする。
@取得項目
A利用目的
B保管場所・保管方法・保管期限
Cアクセス制御の状況
(漏えい事案等に対応する体制の整備)
当社は、漏えい事案等への対応の段階における取扱規程において、次に掲げる事項を定めるものとする。
@ 対応者の役割・責任
個人データ管理者は、情報漏えい等の事故が発生した場合は、速やかに個人データ管理責任者へ状況報告を行う。
A 漏えい事案等の影響・原因等に関する調査手続き
個人データ管理責任者および個人データ管理者は、 漏えい事案等の影響・原因等に関する調査を行い、その経緯の記録をしておくものとする。
B再発防止策・事後対策の検討に関する手続き
個人データ管理責任者および個人データ管理者は、再発防止策・事後対策の検討を行い、その経緯の記録をしておくものとする。再発しないよう対策を立て業務にあたらなくてはならない。
C自社内外への報告体制
当社は、自社内外への報告体制を整備するとともに、漏えい事案等が発生した場合には、次に掲げる事項を実施するものとする。
a.監督当局等への報告
漏えい事案等が生じた場合は、速やかに事実関係を調査し、その結果を貸金業協会及び監督当局、その他所属する協会や加盟機関へ報告しなければならない。
b.本人への通知等
漏えい事案等が生じた場合は、漏えいの対象となった本人に対し、速やかに事実関係等を通知しなければならない。
c.二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の一般への早急な公表 漏えい事案等が生じた場合は、店頭への掲示等を通じて事実関係を速やかに一般に公表しなければならない。
(従業者との個人データの非開示契約等の締結)
当社は「従業者との個人データの非開示契約等の締結」として、採用時に従業者と個人データの非開示契約等を締結するものとする。
(従業者の役割・責任等の明確化)
当社は「従業者の役割・責任等の明確化」として、次に掲げる措置を講じるものとする。
@各管理段階における個人データの取り扱いに関する従業者の役割・責任の明確化
「個人データの管理責任者」は次の役務を行うものとする。
a.個人データの安全管理に関する規程の承認及び周知
b.個人データ管理者の任命
c.個人データ管理者からの報告及び助言・指導
d.個人データの安全管理に関する教育・研修の企画
e.その他、個人データの安全管理に関すること
「個人データ管理者」は次の役務を行うものとする。
a.個人データの利用申請の記録等の管理
b.個人データを取扱う保管媒体の設置場所の指定及び変更等
c.個人データの管理区分の設定及び変更の管理
d.個人データの取扱状況の把握
e.個人データ管理責任者に対する報告
f.その他、個人データの安全管理に関すること
A個人データの管理区分及びアクセス権限の設定
個人データの管理およびアクセス権限は「個人データ管理者」に限定するものとする。
B違反時の懲戒処分を定めた就業規則等の整備
「個人データの非開示契約書等」に違反時の懲戒処分を定めた就業規則を設定するものとする。
C必要に応じた規程等の見直し規定の見直しが必要な場合は、「個人データの管理責任者」および「個人データ管理者」で対応するものとする。
(従業者への安全管理措置の周知徹底、教育及び訓練)
当社は「従業者への安全管理措置の周知徹底、教育及び訓練」として、次に掲げる措置を講じるものとする。
@従業者に対する採用時の教育及び定期的な教育・訓練
個人データ取扱部署が単一である為、全従業員に個人データの教育・訓練を行うのではなく、個人データを取り扱う従業員に限定して行うものとする。
A個人データ管理者に対する教育・訓練
当社の個人データ管理者は、定期的に開催される『認定講習会』を受講し、常に法的に沿った手段で個人データを取扱うものとする。
B個人データの安全管理に係る就業規則等に違反した場合の懲戒処分の周知
就業規則を常に閲覧できる環境におくことで、違反した場合の懲戒処分の内容を周知させるものとする。
C従業者に対する教育・訓練の評価及び定期的な見直し
個人データ取扱部署が単一である為、全従業員に個人データの教育・訓練を行うのではなく「個人データ管理者」の立場にある従業員のみに行うものとし、その内容を定期的に見直し、向上心をもって業務に励むこととする。
(盗難防止、機器装置等を保護する体制の整備)
@個人データを登録するパソコンは、パスワード設定などにより担当以外の者が操作できないようにしなければならない。また、ノート型パソコンを使用している場合は、施錠可能(金庫)な場所で保管し、盗難等を防止しなければならない。
A個人データを登録するパソコンは、外部からアクセス不可能な状態で管理し、またウイルス対策のソフトを活用し個人データの破損等の防止をしなければならない。
B個入データをメモリースティック等により記録し保管する場合は、施錠可能な場所(金庫)で管理し、盗難等を防止しなければならない。
C信用情報機関専用端末の操作マニュアルやパスワードの記載された書面などは、個人データ管理者が施錠し管理しなければならない。
D信用情報機関専用端末から出力された回答シートは、保管方法や保管期限を取決め管理しなければならない。
また台帳等への転記後、回答シートを廃棄する場合は、原形をとどめない状態で廃棄(シュレッダー)しなければならない。
E信用情報機関専用端末は地震等による転倒の危惧がある場所に設置してはならない。また、防水の及ばない場所に設置するものとする。
F業務を終了する場合は、信用情報機関専用端末を終了させ、施錠可能な場所に保管しなければならない。
G個入データの保管されている什器備品の鍵は、原則として金庫保管しなければならない。敷地外の持出しは厳禁とする。
(個人データの利用者の識別及び認証)
当社は、「個人データの利用者の識別及び認証」として、次に掲げる措置を講じなければならない。
@本人確認機能の整備
限定されたID・パスワードの適切な管理
A本人確認に関する情報の不正使用防止機能の整備
限定されたID・パスワードの適切な管理
B本人確認に関する情報が他人に知られないための対策
定期的にID・パスワードの変更と適切な管理
(個人データの管理区分の設定及びアクセス制御)
当社は、「個人データの管理区分の設定及びアクセス制御」として、次に掲げる措置を講じるものとする。
@従業者の役割・責任に応じた管理区分及びアクセス権限の設定
個人データの管理およびアクセス権限は「個人データ管理者」に限定するものとする。
A事業者内部における権限外者に対するアクセス制御
信用情報機関専用端末は、単独回線で接続し、ID・パスワード管理により特定の担当者以外の者が操作できないようにするものとする。
B外部からの不正アクセスの防止措置
フィルタリング機能・監視機能の導入・管理で防御するのもとする。
当社は、「外部からの不正アクセスの防止措置」として、次に掲げる措置を講じるものとする。
@アクセス可能な通信経路の限定
信用情報機関専用端末は、単独回線で接続し、通信経路の限定を行うものとする。
A外部ネットワークからの不正侵入防止機能の整備
ウイルス対策ソフト導入で防御するのもとする。
B不正アクセスの監視機能の整備
ウイルス対策ソフト導入で防御するのもとする。
Cネットワークによるアクセス制御機能の整備
ウイルス対策ソフト導入で防御するのもとする。
(個人データへのアクセス権限の管理)
当社は「個人データへのアクセス権限の管理」として、次に掲げる措置を講じるものとする。
@従業者に対する個人データへのアクセス権限の適切な付与及び見直し
担当者を選定し、取扱者の限定をしなければならない。且つ担当以外の業務において個人情報を取扱してはならないものとし、見直しの必要がある場合は充分な状況確認後に対応するものとする。
A従業者に付与するアクセス権限を必要最小限に限定すること。
貸金業務以外において、個人情報を取扱してはならないものとする。
(個人データの漏えい・き損等防止策)
当社は「個人データの漏えい・き損等防止策」として、個人データの保護策を講ずる事とともに、障害発生時の技術的対応・復旧手続を整備するものとする。
[個人データ保護策]
@蓄積データの漏えい防止策
信用情報機関専用端末は、ID・パスワード管理により特定の担当者以外の者が操作できないようにする。
A伝送データの漏えい防止策
当社は漏えい防止のため、データの伝送は行わないものとする。
Bコンピュータウイルス等不正プログラムへの防御対策
ウイルス対策ソフト導入で防御するのもとする。
[障害発生時の技術的対応・復旧手続の整備]
@不正アクセスの発生に備えた対応・復旧手続の整備
業務終了の際には、必ずデータを上書き保存してから信用情報機関専用端末を終了させ、常に最新のデータを保存するようにするものとする。
Aコンピュータウイルス等不正プログラムによる被害時の対策
監視機能の導入と管理の徹底を行う。
Bリカバリ機能の整備
データやソフトウェアのバックアップ、リカバリ機能の導入・管理
(個人データへのアクセスの記録及び分析)
当社は、管理台帳へ個人データへのアクセスを記録するとともに、当該記録の分析・保存を行うものとする。
(個人データを取り扱う情報システムの稼動状況の記録及び分析)
当社は、個人データを取り扱う情報システムの稼動状況を記録するとともに、当該記録の分析・保存を行うものとする。
(個人データを取り扱う情報システムの監視及び監査)
当社は、個人データを取り扱う情報システムの利用状況及び個人データへのアクセス状況を監視するとともに、監視状況についての点検及び監査を行うものとする。
@個人データ管理者は定期的に個人データの利用状況をまとめ、個人データ管理責任者へ報告書として書面にて報告するものとする。
A個人データ管理責任者は、報告書の内容に問題点がないか定期的に監査する。
