项目対回答.pdfVIP

資料３ ヒアリング項目に対する回答 全国信用情報センター連合会 当連合会に加盟する３３の個人信用情報機関（以下、「情報センター」という。）における状況 について以下のとおり回答いたします。 １．安全管理について ① 安全管理措置、とりわけ技術的・物理的な措置の具体的な項目について、どのように 対処しているのか。 情報センターでは、「個人情報の保護に関する法律」及び金融庁の 「金融分野における個人情 報保護に関するガイドラインの安全管理措置等についての実務指針」にもとづき、個人信用情 報に係る安全管理措置を実施しています。物理的、技術的な措置の項目としては以下のとおり です。 物理的安全管理措置 ・建物への入退館管理 ・事務室への入退室管理 ・コンピュータサーバー室への入退室管理 ・施錠管理 ・入退室記録の取得保存及び点検等 ・監視カメラによる事務室内監視 技術的安全管理措置 ・個人データ取扱者の識別及び認証 ・個人データの管理区分の設定及びアクセス制御 ・個人データへのアクセス権限の管理 ・個人データの漏えい、き損の防止策 ・個人データへのアクセス記録及び分析 ・個人データを取り扱う情報システムの稼動状況の記録及び分析 ・個人データを取り扱う情報システムの監視及び監査 等 1 また、具体的な実施状況としては、例として以下の対応を行っています。 ［入退館室制限、識別・認証］ 会社入口に顔認証装置を設置し、顔情報の登録された職員のみ入ることができます。また、 事務室、マシン室、開示室ごとに入室制限をしています。 事務室及びマシン室への入室は入退室用非接触型ＩＣカード認証装置を設置し、入退室の都 度、認証を行います。入退室の記録は、顔面認証は３００日間、ＩＣカードは１年間保存して います。 また、各担当者のパソコン毎に指紋認証装置を設置し、起動時に認証しています。７分間操 作がないと再度認証が必要な状態になります。 ［アクセス制限、アクセス権限管理、システム管理］ 個人情報データベースにアクセスできる機器や権限を担当者毎に制限しています。個人情報 へのアクセスは、部門長の判断により必要最小限に付与すべき業務メニューの制限を行ってい ます。アクセス権限は半年毎に見直しています。 個人情報データベースへのアクセス記録を保存し分析しています。不当なアクセスを行って いないかどうかを確認し、疑問点がある場合はヒアリングを行います。 不正アクセスの状況やシステムのジョブ処理状況等を記録、監視しており、その運用につい ては内部監査でチェックしています。 ［不正アクセス防止］ ファイヤーウォールの導入、ＩＰアドレスのフィルタリング等、不正アクセス監視及び不正 侵入防止機能を施しており、また、ウイルス対策ソフトを導入済です。 ［盗難防止］ 事務フロアに監視カメラを設置し、モニターを総務部門で常時映出しています。映像は１年 間保存し、各部門の個人情報管理責任者がいつでも閲覧可能な状態になっています。内部通報 に基づいて個人情報保護監査室が確認する権限を付与しています。 社外へのメールの制限、外部記憶媒体への保存機能停止をシステム上実施し、システム管理 者が常時監視を行っています。 職員に対し、携帯電話、カメラ等の撮影及び通信機器の持ち込みを禁止しています。 個人情報を保管するキャビネット等の鍵は個人情報管理者が管理しています。 2 ② 個人情報の取扱いに係る委託先の監督について具体的にどのように対処しているか。 情報センターでは、「金融分野における個人情報保護に関するガイドラインの安全管理措置 等についての実務指針」にもとづき、システム運用等の委託先に対して新たに安全管理措置 に関する覚書を締結し、覚書内容の履行状況を確認するための報告書の徴求や立ち入り調査 に関する