- Trang đầu của Thành phố Yokohama
- Thông tin thành phố
- Hoạt động hành chính/kiểm toán
- Tiết lộ thông tin/bảo vệ thông tin cá nhân
- Hệ thống bảo vệ thông tin cá nhân
- Ủy ban đánh giá bên thứ ba của thành phố Yokohama về bảo vệ thông tin cá nhân
- Kết quả hành động lấy ý kiến trong báo cáo
- Kết quả các hoạt động phản hồi ý kiến trong báo cáo kiểm tra hiện trường (năm tài chính 2010)
Phần chính bắt đầu từ đây.
Kết quả các hoạt động phản hồi ý kiến trong báo cáo kiểm tra hiện trường (năm tài chính 2010)
Cập nhật lần cuối vào ngày 22 tháng 1 năm 2019
Toàn văn báo cáo kiểm tra hiện trường có thể được xem trên trang danh sách báo cáo.
Kết quả của các hành động được thực hiện nhằm phản hồi các ý kiến trong báo cáo kiểm tra thực địa năm tài chính 2019 về vấn đề xử lý thông tin cá nhân
| Ngày kiểm tra | Ngày 29 tháng 7 năm 2010 |
|---|---|
| Mục tiêu kiểm tra | Hoạt động thi tuyển sinh (thuộc thẩm quyền của Trung tâm tuyển sinh) và công tác học thuật đại học (thuộc thẩm quyền của Phòng Đào tạo và Công tác học thuật) của Đại học Thành phố Yokohama, một tập đoàn đại học công lập |
| Phân chia thẩm quyền | Tập đoàn Đại học Công lập Đại học Thành phố Yokohama |
| ý kiến | Khi chúng tôi nhận được yêu cầu cung cấp thông tin cá nhân từ bộ phận khác, chúng tôi yêu cầu họ gửi ''biểu mẫu yêu cầu thông tin cá nhân'' mô tả mục đích sử dụng, sự cần thiết, phương tiện phân phối, v.v. và chỉ cung cấp thông tin sau khi được sự chấp thuận từ Giám đốc bộ phận về mặt thủ tục đã thực hiện đúng quy trình. Tuy nhiên, các tiêu chí để xác định có cung cấp các dịch vụ đó hay không vẫn chưa được xác định rõ ràng. Về nguyên tắc, Thành phố Yokohama cấm cung cấp thông tin cá nhân được lưu giữ cho các bên không phải là bộ phận liên quan, vì vậy khi cung cấp thông tin đó, cần phải đánh giá xem yêu cầu từ người yêu cầu có phù hợp hay không. Do đó, chúng tôi muốn xem xét thiết lập các tiêu chí để xác định liệu thông tin cá nhân có thể được cung cấp khi ai yêu cầu và cho mục đích gì hay không, vì điều này sẽ góp phần quản lý thông tin cá nhân phù hợp hơn. |
|---|---|
| Đo kết quả | Căn cứ vào mục đích sử dụng thông tin cá nhân, chúng tôi đã nêu rõ các tiêu chuẩn cung cấp thông tin cá nhân cho các bộ phận khác. Ngoài ra, chúng tôi còn đưa ra các ví dụ về các trường hợp chúng tôi có thể cung cấp thông tin để giúp bạn quyết định có nên cung cấp thông tin đó hay không. |
| ý kiến | Việc xử lý thông tin cá nhân sau khi cung cấp thông tin cá nhân dựa trên ``Mẫu yêu cầu thông tin cá nhân'' thuộc quyền quyết định của người nộp đơn và không được quản lý tốt. Khi cung cấp dữ liệu điện tử, nó được cung cấp ở các định dạng tệp chung như định dạng văn bản, định dạng CSV và định dạng Excel nên việc xử lý không yêu cầu hệ thống chuyên dụng như CMJ. Người ta nói rằng nó được cung cấp bằng thẻ nhớ USB có chức năng mã hóa, nhưng vì nó có thể được xử lý bằng máy tính thông thường nên sẽ có nguy cơ rò rỉ. Chúng tôi muốn xem xét và xây dựng các quy tắc hoạt động để thu thập và tiêu hủy thông tin cá nhân được cung cấp, kể cả trong trường hợp phương tiện truyền thông giấy, để thông tin cá nhân được cung cấp có thể được quản lý một cách thích hợp. |
|---|---|
| Đo kết quả | Bộ phận tiếp nhận thông tin cá nhân phải trả lại và tiêu hủy thông tin cá nhân khi đã sử dụng xong thông tin cá nhân, bộ phận cung cấp thông tin cá nhân phải xác nhận tình trạng trả lại và hủy thông tin đó. Ngoài ra, định dạng của "Mẫu yêu cầu cung cấp thông tin cá nhân" đã được thay đổi. |
| ý kiến | Khi dữ liệu điện tử chứa thông tin cá nhân được mang ra khỏi khuôn viên trường, nó sẽ được quản lý bằng "Sổ quản lý xuất và trả lại thông tin cá nhân", nhưng khi thông tin cá nhân được cung cấp cho các bộ phận khác trong cùng khuôn viên trường bằng thẻ nhớ USB. kiểm tra tại chỗ, việc cho mượn USB không được quản lý bằng sổ quản lý. Vì điều này là cần thiết để đảm bảo việc thu thập và tiêu hủy thông tin cá nhân nên ngoài 2 (2) A ở trên, sẽ có trường quản lý thông tin bằng sổ quản lý và nếu cung cấp dưới dạng dữ liệu điện tử thì số lượng thẻ nhớ USB được cho mượn. Vui lòng xem xét sửa đổi "Mẫu yêu cầu cung cấp thông tin cá nhân". |
|---|---|
| Đo kết quả | Khi cung cấp thông tin cá nhân bằng thẻ nhớ USB cho các bộ phận khác trong cùng khuôn viên trường phải được quản lý trong “Sổ quản lý xuất, trả thông tin cá nhân” giống như khi mang ra khỏi khuôn viên trường. trả về trạng thái của dữ liệu trong thẻ nhớ USB trên bản ghi. Ngoài ra, nếu yêu cầu cung cấp thông tin cá nhân bằng thẻ nhớ USB, số thẻ nhớ USB được sử dụng sẽ được thêm vào "Biểu mẫu yêu cầu cung cấp thông tin cá nhân". |
ý kiến | Tất cả các tủ lưu trữ thông tin cá nhân đều có khóa. Mặc dù nguyên tắc hoạt động là khóa cửa vào cuối ngày và mở khóa vào đầu ngày, nhưng trong quá trình kiểm tra tại chỗ, một số tủ vẫn còn kẹt chìa khóa, cho thấy cần cải tiến trong công tác vận hành. tình huống. Hơn nữa, mặc dù chìa khóa được người quản lý lưu giữ và quản lý nhưng không có quyền kiểm soát ai đã lấy và khi nào chúng được trả lại. Do đó, chúng tôi tin rằng những cải tiến là cần thiết về mặt quản lý thông tin cá nhân được lưu giữ. Cách quản lý thẻ nhớ USB ở trường tiểu học bị kiểm tra tại chỗ năm 2009 và sử dụng sổ quản lý cho mượn (thẻ nhớ USB có đánh số được cất trên kệ có khóa, khi cho mượn phải có thẻ điểm danh của nhân viên sẽ được gửi qua người quản lý. Vui lòng cân nhắc việc sử dụng thông tin này làm tài liệu tham khảo, vì bạn sẽ trao đổi thẻ nhớ USB và tình trạng cho thuê cũng như người dùng đều rõ ràng. |
|---|---|
| Đo kết quả | Chúng tôi quyết định kiểm soát tập trung các chìa khóa trong hộp chìa khóa có số PIN và mở khóa tủ mỗi khi cần thiết. |
| ý kiến | Đặc quyền truy cập được đặt cho mỗi nhân viên sử dụng CMJ. Mặc dù nhân viên bán thời gian bị cấm truy cập thông tin cá nhân trong CMJ nhưng họ vẫn được cấp đặc quyền truy cập giống như nhân viên bình thường. Vì lý do này, menu truy cập tương tự như dành cho nhân viên thông thường được hiển thị trên màn hình và thực sự rất dễ truy cập. Từ góc độ quản lý phù hợp, vui lòng xem xét thực hiện các biện pháp ngăn chặn nhân viên bán thời gian truy cập vật lý vào thông tin cá nhân không cần thiết cho công việc của họ, chẳng hạn như bằng cách hạn chế các menu mà họ có thể truy cập. |
|---|---|
| Đo kết quả | Chúng tôi đã xác nhận lại trạng thái sử dụng của nhân viên và đặt giới hạn quyền truy cập để họ chỉ có thể truy cập những mục cần thiết cho công việc. |
| ý kiến | Mật khẩu đăng nhập CMJ có thể được đặt tự do trong phạm vi 8 chữ số, nhưng có những trường hợp mật khẩu được đặt dưới 8 chữ số, vì vậy người ta đã nỗ lực tăng cường độ mạnh của mật khẩu từ góc độ đảm bảo an ninh cho cá tráp. Ngoài ra, mặc dù các quy tắc cơ bản đã được thiết lập về ngày hết hạn mật khẩu, quy trình thay đổi mật khẩu thực tế vẫn được giao cho từng nhân viên. Để tăng thêm khó khăn trong việc truy cập thông tin cá nhân và giảm nguy cơ rò rỉ, cần nỗ lực đảm bảo cập nhật thường xuyên. |
|---|---|
| Đo kết quả | Hiện tại, việc sửa đổi hệ thống để buộc thay đổi mật khẩu là rất khó nên tạm thời quản trị viên hệ thống sẽ gửi hàng loạt email yêu cầu thay đổi mật khẩu cho tất cả nhân viên ít nhất ba tháng một lần. Ngoài ra, trong mỗi email, chúng tôi yêu cầu nhân viên CMJ đặt mật khẩu của họ phức tạp nhất có thể (bao gồm nhiều chữ số, chữ hoa và chữ thường và số), đồng thời bao gồm ngôn ngữ nhắc nhở họ về việc xử lý thông tin cá nhân. thu hút sự chú ý của bạn đến vấn đề này. |
| ý kiến | CMJ được trang bị chức năng xuất dữ liệu ở định dạng CSV và hiện tại chức năng này có thể được sử dụng bởi bất kỳ người dùng nào, bao gồm quản trị viên hệ thống, người quản lý và nhân viên nói chung. Ngoài ra, do không cần thủ tục phê duyệt khi xuất nên nhân viên có thể lưu thông tin cá nhân ở định dạng CSV bất kỳ lúc nào, điều này gây ra rủi ro từ góc độ quản lý thông tin cá nhân phù hợp. Mặc dù mong muốn loại bỏ chính chức năng này để loại bỏ rủi ro nhưng tôi nghe nói đó là chức năng cần thiết cho hoạt động kinh doanh nên mong các bạn xem xét các biện pháp sau. Biện pháp đối phó 1: Các biện pháp đối với chính chức năng xuất CSV Nếu bạn có cơ hội nâng cấp phần mềm CMJ của mình, vui lòng xem xét các cải tiến hệ thống như triển khai các chức năng để giảm thiểu rủi ro. (Ví dụ khi nhân viên sử dụng một chức năng nào đó thì chức năng đó sẽ không hoạt động trừ khi người giám sát phê duyệt trên hệ thống.) Phương án đối phó 2: Xem xét đặc quyền sử dụng cho chức năng xuất CSV Hiện tại, thao tác là bất kỳ người dùng nào cũng có thể sử dụng chức năng xuất, nhưng điều quan trọng là phải đặt quyền truy cập phù hợp và thực hiện quản lý phù hợp, chẳng hạn như kiểm tra kỹ nhân viên cần chức năng xuất và tắt chức năng cho nhân viên. ai không có nhu cầu hãy cân nhắc xem có nên không. Trong các hệ thống xử lý thông tin cá nhân, khả năng xuất ở các định dạng tệp chung như CSV gây ra rủi ro quản lý rất lớn. Vui lòng xem xét việc quản lý quyền. |
|---|---|
| Đo kết quả | Khi thực hiện cải tiến hệ thống, cần phải có một lượng lớn chi phí bổ sung và rất khó thực hiện. Do đó, chúng tôi sẽ kiểm tra trạng thái sử dụng CMJ ở từng bộ phận và đảm bảo rằng các đặc quyền truy cập tối thiểu đối với các yêu cầu, đầu vào, đầu ra biểu mẫu và. việc xử lý bằng máy tính được chấp nhận. Bằng cách sắp xếp mọi thứ, chúng tôi đã đặt ra các hạn chế đối với chức năng xuất CSV. Để chuẩn bị cập nhật hệ thống công tác học thuật, chúng tôi sẽ tiếp tục điều tra xem liệu phần mềm đóng gói có chức năng như vậy có được phát hành trong tương lai hay không và chúng tôi cũng sẽ xem xét liệu có các biện pháp đối phó khác hay không. |
| ý kiến | Cấu trúc bên trong của Trung tâm Tuyển sinh gây khó khăn cho việc kiểm soát việc ra vào. Hiện tại, chỉ có một nhân viên trực trong giờ nghỉ trưa vì có các thí sinh và người bán hàng đến thăm trong giờ nghỉ trưa (trên thực tế, nhân viên trong giờ nghỉ trưa cũng hỗ trợ), nhưng điều này gây ra rủi ro từ góc độ thông tin cá nhân. Có thể nói là có tồn tại. Vui lòng xem xét các cách để sắp xếp thời gian nghỉ trưa khi rủi ro cao nhất. |
|---|---|
| Đo kết quả | Nhằm tăng cường hệ thống quản lý văn phòng cũng như từ góc độ quản lý thông tin cá nhân, trước đây rõ ràng chỉ có một người trực, nhưng đã quyết định rằng một người quản lý sẽ luôn túc trực luân phiên và sẽ chịu trách nhiệm xử lý. nghỉ trưa và quản lý văn phòng. Chúng tôi quyết định vận hành nó với hệ thống hai người. |
| ý kiến | Hiện tại, nhân viên cuối cùng rời văn phòng đã khóa tủ lưu trữ thông tin cá nhân sau khi kết thúc công việc nhưng các hạng mục cần kiểm tra vẫn chưa được làm rõ bằng danh sách kiểm tra hoặc các phương tiện khác. Để tránh thiếu sót trong quá trình xác nhận, v.v., vui lòng xem xét việc tạo và vận hành danh sách kiểm tra cuối công việc, v.v. |
|---|---|
| Đo kết quả | Để tránh những sai sót, chúng tôi đã tạo và bắt đầu sử dụng danh sách kiểm tra cuối ngày. |
| ý kiến | Nhân viên bán thời gian cũng có thể xử lý thông tin cá nhân trong quá trình thực hiện nhiệm vụ của mình. Hiện tại, các quy định việc làm áp đặt nghĩa vụ bảo mật, nhưng tôi muốn bạn xem xét làm rõ chúng dưới hình thức như thỏa thuận bảo mật. |
|---|---|
| Đo kết quả | Khi chúng tôi thuê nhân viên bán thời gian, chúng tôi đưa cho họ một ``thư tuyển dụng''. ``thư tuyển dụng'' có cảnh báo rằng họ sẽ không tiết lộ bất kỳ bí mật nào họ đã biết được trong quá trình làm việc và họ sẽ được yêu cầu tuân thủ các yêu cầu về việc làm. Chúng tôi mới làm rõ rằng chúng tôi không vi phạm các quy tắc quản lý các vấn đề. Chúng tôi sẽ nâng cao nhận thức về rò rỉ thông tin, v.v. bằng cách nâng cao nhận thức về các vấn đề phải tuân thủ khi thực hiện nhiệm vụ, bao gồm cả nghĩa vụ bảo mật. |
Thắc mắc tới trang này
Cục Công dân Văn phòng Thông tin Công dân Phòng Thông tin Công dân
điện thoại: 045-671-3883
điện thoại: 045-671-3883
số fax: 045-664-7201
địa chỉ email: sh-shiminjoho@city.yokohama.jp
ID trang: 314-896-693
