２．　基本方針の策定
個人情報の適正な取扱いの確保のため、「個人情報保護基本方針」を策定する。

３．　組織的安全管理措置
・個人情報保護管理者
個人情報保護管理者は法令や規定の順守を徹底させるとともに、違反している事実や恐れがある場合、また漏えい等の
事案に対し、早急に対応する体制を確立する。
・内部監査
個人データの取扱い状況について、定期的に自己点検、社内監査を実施する。

４．　人的安全管理措置
全社員について、個人データの取扱いに関する教育を定期的に実施する。
個人データの秘密保持に関する事項を就業規則等に記載を行う。

５．物理的安全管理措置
・入室資格保有者
（１）安全管理措置の適用範囲への入室資格を有する者は、当社社員等とする。
社員等はその身分を証するものとして、就業中は名札またはネックストラップを着用すること。
・入退室管理
入退室管理を次の通り行なう
（１）事務所の施錠・開錠は社員が実施し「入退室管理簿」に記録する。「入退室管理簿」は業務部長が管理確認する。
（２）来訪者が業務スペース（セキュリティゾーン内）に入ろうとする場合
ア．来客の場合：『ご来館者記入カード』をお客様に記入していただき、外来者入室証（ビジターカード）着用を
依頼。社員等同行のもとセキュリティゾーン内へ案内し、原則として退室まで見届ける。
イ．宅配等の日常の出入り業者については、ユニフォームで識別し、出入り口付近等必要最低限の範囲で入室を認
める。
（３）業務部長は、毎月初に前月分の『ご来館者記入カード』を確認・押印後１年間保管する。
（４）社員に施錠キーを貸与し「鍵受領書」に署名・捺印を求めることとする。「鍵受領書」は業務部長が保管管理する。
（５）社員等は外部からの入場者による物品の持込み、社内物品の持出しに際して不審な点を発見した場合（窃盗等）
は速やかに各部長へ報告する。
・漏洩、盗難等の防止
（１）離席時のクリアデスクの励行
ア．机上は常に整理し、記録媒体等が他の書類に紛れての紛失等を防止する。
イ．個人情報記載の書類等は机上放置しない。
ウ．パソコンのパスワード付きスクリーンセーバー等の起動による覗き見防止等を行なう。
エ．ＩＤ・パスワード等を記載したメモ等の机上放置の禁止。
（２）記録媒体等の施錠保管
ア．紙媒体、外部電子媒体の保管期間と保管場所を明確化する。
イ．使用後の保管場所への返却と確実な施錠の励行。
ウ．保管の記録は「個人情報帳票類保管及び廃棄記録簿」等各箇所で指定されている記録簿による。
＊電子データファイルへのパスワード設定は必須です。
（３）保管期間終了後の記録媒体等の消去・廃棄
ア．保管期間満了後の当該年度終了後、速やかに廃棄する。
イ．紙媒体はシュレッダーによる廃棄又は委託先による溶解を行い廃棄証明書を取得する。
個人データ記載の裏紙利用は禁止する。
ウ．機器や媒体の廃棄時及びリース・レンタル返却時はデータを完全に消去する。
エ．廃棄完了後は「個人情報帳票類保管及び廃棄記録簿」等各箇所で指定されている記録簿に廃棄の事実を記録する。
（４）携帯可能なＰＣ等を使用する場合は、チェーンロックの利用等盗難防止の対策を行なう。
（５）携帯電話を貸与する場合は、個人情報管理者が申請し個人情報保護管理者が承認を行い、個人情報管理部署（業務部）
が管理する。使用にあたっては、「パスワードの設定」を行い盗難等万一の事故による個人情報の漏洩防止を行なう。
尚、携帯電話に登録する項目は、会社名、氏名、電話番号のみとし、住所等の登録は行なわず個人情報 漏洩のリスク
を軽減する。
（６）データ入力時等のミス防止及び個人情報の適正な保存等
ア．データ入力後は、必ずデータ入力内容に誤りがないかを確認する。
イ．必要情報、不要情報の管理を常時行い、パソコン内には不要な個人情報を保存しない。
・機器、装置の保全
当社は、機器・装置等の安全を確保するため以下の措置を講じることとする。
（１）盗難防止のため入退室ルールを定め、部外者の業務スペースへの入場を原則禁止する。
（２）漏水等の事故を起さないために、機器設置施設の適切な維持管理を行なう。
（３）火災防止の為、終業時の点検を励行する。
（４）ファイルサーバー（社内ドキュメントサーバー）の定期的なバックアップの実施とアクセスログの監視を行なう。
・個人データの移送・持出し等の対策
（１）移送・送信
ア．個人データを記載した紙媒体（書類等）や電子的媒体（ＵＳＢメモリ等）を取得・送付するときは、必ず取得・送付
の履歴の残る方法（例：書留郵便、宅配便等）を利用する。
イ．メールによる送信は、パスワードのかかったファイルを送信しパスワードは別メールにより送信する。
個人データの電子データ（ファイル）は、日常からパスワードをかけることが必須。
ウ．ＦＡＸ送信においては、原則として既に登録されている短縮ダイヤルを活用し、直接入力を行なう場合は、必ず2回
以上声を出して確認後送信する。ＦＡＸ番号の変更通知を受けた場合は、その都度個人情報管理者の責任において、
既登録内容を変更する。短縮ダイヤルを新規登録した場合は、個人データの記載されていない書面でテスト送信する。
（２）持出し
ア．個人データした紙媒体（書類等）の持出しは、原則禁止とする。
イ．業務上やむを得ず持出す場合は、『個人情報「持出管理簿」』に必要事項を記入し、個人情報管理者の承認を得る。
ウ．返却にあたっては、返却日を厳守し、個人情報管理者からの確認（内容、数量等）を受ける。

６．技術的安全管理措置
・アクセス制御、不正ソフトウエア対策
（１）担当者に「ＩＤ・パスワード」を発行し識別情報による認証を実施する。
（２）識別情報発行・更新・廃棄ルールの徹底と申請書等の適切な管理を行う。
（３）ウイルス対策ソフトの導入と未許可ソフトのインストールを禁止する。
（４）端末設置申請・ソフト使用許可等端末使用ルールを厳守する。
（５）ログイン用ＰＷは『複数文字種（英大文字、小文字、数字、記号）混在』で設定とともに定期的な変更を実施し、
システムへのアクセス制御を行う。（システム管理者の指示による変更の実施）

７．その他の措置
・開示要求時の対応
ア．「本人確認」「本人承諾」ができない問合せには絶対に情報開示を行わない。
イ．本人からの開示等の求めがあった場合
原則「個人情報開示等依頼書」「個人情報開示等通知書」を利用しルールに沿って手続きを行うこと。