・ 取扱区域への入退管理29を実施すること。入退室の記録を定期的にチェックし、
その妥当性を確認すること。記録は利用終了後少なくとも１年は保管すること。
（※）
・ NDB データ等の利用、
管理及び保管は、
事前に承諾された取扱区域
（国内に限る）
でのみ行うこととし、外部への持ち出しは行わないこと（公表前確認時を除く）
。
なお、オンサイト環境から持ち出した生成物についても同様の取扱とする。
・ 同一取扱区域内で複数研究の NDB データ等を利用することは可能であるが、研
究ごとに居室の利用時間帯を分け入室できる者を制限する等、両研究の取扱者や
データが混在しないような配慮をすること。同一端末を使用し、アカウントの分
割やフォルダのアクセス権を分けるといった設定だけではリスク回避の十分な
対策とは認められないため、別々の端末や外部記憶媒体で利用すること。
ii)

NDB データ等の取り扱いに係る機器の紛失・盗難等の防止措置を講じること
・ NDB データ等が保存されている PC やサーバー等の機器の設置場所及び電子媒体
の保存場所には施錠すること。
・ NDB データ等が存在する PC 等の機器に盗難防止用チェーンを設置すること。

iii) NDB データ等の削除や、NDB データ等が存在する PC 等の機器等を廃棄する場合に
は、専用ツールを用いるなどにより第三者が復元できない手段で行うこと 。
・ データ消去の証明書を提出すること。なお、証明書に既定のフォーマットはなく、
消去ソフトを利用して消去した際の画面キャプチャ等で構わない。
・ 破棄に関する運用管理規程において、把握した情報種別ごとに破棄の手順を定め
ること。
・ 運用管理規程に記載する破棄の手順には、破棄を行う条件、破棄を行うことがで
きる職員、具体的な破棄方法を含めること。
（※）
・ 情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、
機器に残存した読み出し可能な情報がないことを確認すること。
・ 情報の破棄を外部事業者に委託した場合は、確実に NDB データ等が破棄された
ことを、 証憑又は事業者の説明により確認すること。

（４）技術的な安全管理措置
i)

NDB データ等を取り扱う PC 等において NDB データ等を処理することができる者を
限定するため、適切な処置を講じること。
・ NDB データ等を利用する PC 等へのアクセス時に、取扱者の識別と認証を行うこ
と。

29

電子的なログの取得や、台帳に氏名等を記入することによる。

- 22 -