Data Security
データの
セキュリティ
パーソナルデータを適切に取り扱うために実施しているセキュリティ対策についてご説明します。
データセキュリティ対策
my door OSAKA/ORDENでは、府民のみなさまはもとより、様々な関係者に安心してご利用いただけるよう、「ORDENにおける情報セキュリティ対策方針(以下、情報セキュリティ対策方針)」にてデータの安全管理について定めています。
情報セキュリティ対策方針では、情報を守るための方針を定めており、パーソナルデータの安全管理及び情報セキュリティ管理において、下記のリスク回避のための取組み等が定められています。
- 物理的セキュリティ対策:サーバーや通信回線等の運用管理・データの保管場所の規定
- 技術的セキュリティ対策:不正アクセス検知や防止などの対策
- 組織的セキュリティ対策:
- 情報システムの監視及び情報セキュリティ確保のための規程類の遵守など
- 大阪府が様々な主体から提供を受けたデータを第三者に利用させる場合のデータ流通における運用規定など
- 外部委託に関する対策
- データの取り扱いとして遵守すべき事項や教育対策など
データライフサイクルごとの取り扱いルール設定
大阪府は、my door OSAKA/ORDENを通じてサービス利用者のみなさまへサービスを提供する連携事業者とデータのライフサイクルとしてのルール設定を行っています。データライフサイクルでは、データの取り扱い方や削除の時期や方法などを取り決め、データの安全性の担保や目的外利用の回避を行います。
- 取得
-
- パーソナルデータはサービス利用規約・プライバシーポリシーに利用目的を明示・同意の上取得する。
- パーソナルデータはサービス提供およびmy door OSAKA/ORDENの運用に必要な範囲で取得する。
- 保存・管理
-
- 総務省セキュリティガイドライン要件を満たす商用クラウドに保存し、管理を大阪府にてパーソナルデータ等を適正に取り扱うと認めた事業者に業務委託する。
- データベースは国内に設置し日時バックアップを取得するほか、WAF(Web Application Firewall)などによるセキュリティ監視やセキュリティパッチの最新化を適宜実施する。
- ガバナンスボードにより、データの機密性、完全性、可用性を事前に確認したうえでデータの取り扱い可否を決定する。
- 利用
-
- データは地域の事務の枠内で同意に基づき利用する。
- データ利用はmy door OSAKA/ORDENが定める手順に従って認証とアクセス制御を行う。
- パーソナルデータの利用は、サービス利用者の同意した利用規約の範囲内とし、原則2次流通は禁止する。
- 解析や嗜好分析などの利用はプライバシーセンターを通じてサービス利用者への説明を行う。
- 非パーソナルデータ(パーソナルデータを統計情報化したもの等)の利用については原則事業者間での合意に基づく利用とし、データの真正性・漏洩等による損害補償等は当事者間で解決するものとする。
- 廃棄
-
- パーソナル情報はサービス利用者の操作や窓口からの依頼により削除することができる。
- 元のデータへ復元不可能な加工データ・分析データ等の情報は利用終了後に自動的に削除することとする。
- サービス連携済であり外部連携サービスへ提供しているデータについては、サービス利用者が外部連携サービス側で操作することにより削除する。
- ログ等システム運用に必要なデータについては運用規定通り削除を行う。
- データ継承
-
- パーソナルデータの継承は、サービス利用者への十分な周知を行ったうえで原則サービス利用者の再同意に基づき行うこととする。
- 非パーソナルデータの継承は必要性が見込まれる範囲内で実施する。
※データ継承とは、すでに取得しているデータを、他サービスや、my door OSAKA以外の団体・事業者等に連携して利活用するケースを想定しています。
