過去、企業が個人情報保護体制を構築する際、往々にして「多頭管理（所管官庁の乱立）」の悩みに直面していました。製造業は経済部、ネット通販は数位発展部（デジタル発展省）が管轄するなど、各省庁が定める「個人情報ファイル安全維持計画」の基準が不統一であり、業種を跨いで経営する企業は対応に苦慮していました。 

新法改正に伴い、個資会は「個人情報ファイル安全維持管理弁法」草案（以下、安全維持弁法草案）を予告しました。これはすべての公務機関および非公務機関に適用される「共通性」のある法規となります。本稿では、草案第2章（第5条から第15条）で規定されている「共通安全維持措置」について解説します。これらは企業の規模や売上高の多寡にかかわらず、必ず実行しなければならないコンプライアンスの最低ラインです。 

1. すべての出発点：データの棚卸しと管理範囲の画定 

多くの企業は個人情報漏洩が発生した際、一体どのようなデータを紛失したのかさえ把握できていないことがあります。安全維持弁法草案第5条は、企業に対し「定期的な棚卸し」を行い、保有する個人情報の現状を確認し、管理範囲を画定することを明確に求めています。 

言い換えれば、企業はもはや「データが散在していて把握できない」という言い訳は通用しません。社内にどのような個人情報（顧客リスト、従業員データなど）があり、どこに保存されているか（書庫、クラウドストレージ、従業員のノートPCなど）、そして収集の法的根拠は何かを知る必要があります。棚卸しを通じて初めて防御範囲を画定することができ、これこそがすべてのセキュリティガバナンスの基礎となります。 

2. 人的管理：秘密保持契約と権限管理 

「内部の脅威」は往々にしてハッカーよりも防ぐのが困難です。草案第7条は「人的管理」について具体的な要件を提示しています： 

1. 権限と責任の識別：業務内容において個人情報の収集、処理、または利用に関わる人員を識別する。 
2. 秘密保持契約：個人情報に接触する人員と秘密保持義務を契約で定める。 
3. 最小権限：アカウント権限は「最小権限の原則」を採用し、業務上必要でなければアクセスを開放しない。 
4. 退職時の引き継ぎ：人員異動時には、確実に権限を回収し、個人情報を含むデバイスを返却させるか、データを削除させる。 

また、草案第8条は、所属人員に対して定期的に啓発および教育訓練を行うべきであると規定しています。これはもはや「余裕があればやる」オプションではなく、記録を保存しなければならない法的義務です。 

3. 設備と物理的セキュリティ：更新を惜しんではならない 

個人情報を保存するコンピュータと場所について、草案第9条と第10条は明確な指標を設けています： 

1. 設備セキュリティ：コンピュータにはウイルス対策ソフトをインストールし、ウイルス定義ファイルの自動更新を設定するとともに、OSやソフトウェアは適時更新して脆弱性を修正（パッチ適用）しなければなりません。言い換えれば、サポートが終了した旧版のOS（Windows 7など）を使用することは、直接的に違反を構成します。 
2. 物理的セキュリティ：個人情報を保管するサーバールームや書庫に対しては、入退室管理、監視カメラシステム、または物理的な施錠を行い、権限のない者の立ち入りを防止しなければなりません。 

4. 特種個人情報：暗号化送信は標準装備 

貴社が保有するデータに「個人情報保護法」第6条の特種個人情報（病歴、医療、遺伝子、健康診断、犯罪前科など）が含まれる場合、草案第11条に基づき、より厳格な保護措置を講じなければなりません： 

1. 書面等の管理：紙媒体および可搬記録媒体（USBメモリなど）の専門的な管理規定を定める。 
2. 送信暗号化：電子ファイルの送信過程において暗号化措置を講じなければならず、平文での送信は認められない。 
3. バックアップ保護：バックアップデータは原本と同等の高規格な保護を行う。 

5. システムログとデータ削除：痕跡を必ず残す 

企業が自社開発または外部委託開発した情報通信システムについて、草案第12条から第15条は以下を求めています： 

1. アカウント管理： 定期的にアカウントを棚卸しし、複雑なパスワード設定を強制する。 
2. ログ保存： システムはログイン、アクセス、削除などの行為を記録する機能（ログ）を備えなければならず、かつログは適切な期間保存しなければなりません（後続条文では少なくとも6ヶ月を推奨）。 
3. 削除記録： 業務終了後、個人情報は確実に廃棄または削除しなければならず、かつ削除記録は後日の監査に供するため、少なくとも5年間保存しなければなりません。 

6. 提言：「安全維持計画」の見直しを 

上述の規定は、すべての非公務機関に対する「最低基準」です。町の診療所であれ、中小企業であれ、巨大な多国籍企業であれ、個人情報を保有している限り、これらの措置を確実に実行しなければなりません。もし個人情報事故が発生し、所管官庁が検査に来た際、最初に見られるのはこれらの基本動作が堅実に行われているかどうかです。当事務所は、企業が直ちに現行の内部規定を見直し、新版草案の要件に合致しているか確認することを推奨します。特に「データの棚卸し」と「システムログ」は、企業が最も見落としやすい部分です。 

当事務所は企業の個人情報法務およびコンプライアンス導入において豊富な経験を有しています。貴社が安全維持計画の策定、改定、または内部プロセスの見直しについてご要望をお持ちの場合は、いつでも当事務所へお問い合わせください。専門の弁護士チームが貴社に合わせた正確な法的分析と解決策をご提供いたします。 

---

※特記事項：本文で言及している関連子法の草案（安全維持弁法など）は、いずれも個人情報保護委員会準備室が2026年1月、2月の間に公告した予告版です。本稿執筆時点において、パブリックコメントの募集段階にあり、正式な施行条文は各界の意見によりさらに調整される可能性があります。読者の皆様におかれましては、最新の法規動向にご留意ください。