1　基本方針の策定

個人情報保護規程を策定し、「総則」、「安全管理体制」、「個人情報の取得」、「個人情報の利用及び第三者提供」、「保有個人データ等の管理」、「個人情報管理委員会及び監査」、「危機管理、その他」等について、具体的に定めています。

2　個人データの取扱いに係る規律の整備

個人情報保護規程等において、取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定しています。

3　組織的安全管理措置

(1)　組織体制の整備

個人情報保護規定等において、以下の体制を整備しています。

・　個人データの取扱いに関する責任者の設置及び責任の明確化

・　個人データを取り扱う従業者及びその役割の明確化

・　上記の従業者が取り扱う個人データの範囲の明確化

・　法や個人情報取扱事業者において整備されている個人データの取扱いに係る規律に違反している事実又は兆候を把握した場合の責任者への報告連絡体制

・　個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制

・　個人データを複数の部署で取り扱う場合の各部署の役割分担及び責任の明確化

(2)　個人データの取扱いに係る規律に従った運用

個人データの取扱いに係る規律に従った運用を確保するため、次のような項目に関して、システムログその他の個人データの取扱いに係る記録の整備や業務日誌の作成等を通じて、個人データの取扱いの検証を可能としています。

・　個人情報データベース等の利用・出力状況

・　個人データが記載又は記録された書類・媒体等の持ち運び等の状況

・　個人情報データベース等の削除・廃棄の状況（委託した場合の消去・廃棄を証明する記録を含む。）

・　個人情報データベース等を情報システムで取り扱う場合、担当者の情報システムの利用状況（ログイン実績、アクセスログ等）

(3)　個人データの取扱状況を確認する手段の整備

次の項目をあらかじめ明確化しておくことにより、個人データの取扱状況を把握可能としています。

・　個人情報データベース等の種類、名称

・　個人データの項目

・　責任者・取扱部署

・　利用目的

・　アクセス権を有する者

(4)　漏えい等事案に対する体制の整備

漏えい等事案の発生時に次の対応を行うため、体制を整備しています。

・　事実関係の調査及び原因の究明

・　影響を受ける可能性のある本人への通知

・　個人情報保護委員会等への報告

・　再発防止策の検討及び決定

・　事実関係及び再発防止策等の公表

(5)　取扱状況の把握及び安全管理措置の見直し

個人データの取扱状況について、定期的に、点検及び監査を実施しています。

4　人的安全管理措置

個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行っています。

個人データについての秘密保持に関する事項を営業秘密管理規定等に盛り込んでいます。

5　物理的安全管理措置

個人データをサーバーで管理し、個別端末へのダウンロードをシステム仕様で制御しています。

6　技術的安全管理措置

アプリにおける個人情報データに関しては、セキュリティ対策されたクラウドサーバーで管理しています。

データについては、各項目ごとをバラバラで管理することで、2つ以上の種類のデータが揃わないと個人情報に当たらないようにしています。

社内基幹システムにおける個人データアクセス管理制限については、管理権限等は一般社員には与えず、ログ等も記録することでの管理をしています。