- Trang đầu của Thành phố Yokohama
- Thông tin thành phố
- Quản lý hành chính và kiểm toán
- Tiết lộ thông tin và bảo vệ thông tin cá nhân
- Hệ thống bảo vệ thông tin cá nhân
- Ủy ban đánh giá bên thứ ba của thành phố Yokohama về bảo vệ thông tin cá nhân
- Kết quả của các hành động được thực hiện để phản hồi các ý kiến trong báo cáo
- Các biện pháp thực hiện để phản hồi các ý kiến trong báo cáo kiểm tra tại chỗ (năm tài chính 2010)
Văn bản chính bắt đầu ở đây.
Các biện pháp thực hiện để phản hồi các ý kiến trong báo cáo kiểm tra tại chỗ (năm tài chính 2010)
Cập nhật lần cuối: 30 tháng 7 năm 2024
Có thể xem toàn văn báo cáo kiểm tra tại chỗ trên trang liệt kê báo cáo.
Kết quả các biện pháp thực hiện để phản hồi ý kiến trong báo cáo kiểm tra thực tế năm tài chính 2010 về công tác xử lý thông tin cá nhân
| Ngày thi | Ngày 29 tháng 7 năm 2010 |
|---|---|
| Đối tượng thử nghiệm | Kỳ thi tuyển sinh (thuộc Trung tâm tuyển sinh) và các vấn đề học thuật (thuộc Phòng học thuật và Ban học thuật) tại Đại học thành phố Yokohama, một tập đoàn đại học công lập |
| Bộ phận chịu trách nhiệm | Đại học thành phố Yokohama |
| ý kiến | Khi nhận được yêu cầu cung cấp thông tin cá nhân từ một phòng ban khác, phòng ban đó phải yêu cầu người đó nộp "Phiếu yêu cầu cung cấp thông tin cá nhân" nêu chi tiết mục đích sử dụng, tính cần thiết, phương tiện chuyển giao, v.v. và thông tin chỉ được cung cấp sau khi được giám đốc phòng ban chấp thuận để các thủ tục được thực hiện phù hợp. Tuy nhiên, tiêu chí để xác định có cung cấp thông tin hay không vẫn chưa được xác định rõ ràng. Tại Thành phố Yokohama, việc cung cấp thông tin cá nhân do thành phố nắm giữ cho bất kỳ ai ngoài các phòng ban có liên quan nói chung đều bị nghiêm cấm, do đó, nếu cần cung cấp thông tin, thành phố phải xác định xem yêu cầu từ phòng ban yêu cầu có hợp lý hay không trước khi cung cấp thông tin. Do đó, chúng tôi muốn bạn cân nhắc việc thiết lập các tiêu chí để xác định ai có thể cung cấp thông tin và cung cấp cho mục đích gì, vì điều này sẽ góp phần quản lý thông tin cá nhân phù hợp hơn. |
|---|---|
| Các biện pháp đã thực hiện | Dựa trên mục đích sử dụng thông tin cá nhân, chúng tôi đã xác định rõ ràng các tiêu chuẩn cung cấp thông tin cá nhân cho các phòng ban khác. Chúng tôi cũng đưa ra các ví dụ về những trường hợp có thể cung cấp thông tin để làm tài liệu tham khảo khi quyết định có nên cung cấp thông tin hay không. |
| ý kiến | Sau khi thông tin cá nhân được cung cấp dựa trên "Biểu mẫu yêu cầu thông tin cá nhân", cách xử lý thông tin đó sẽ tùy thuộc vào quyết định của người nộp đơn, dẫn đến việc thiếu sự quản lý phù hợp. Khi được cung cấp dưới dạng dữ liệu điện tử, dữ liệu này được cung cấp ở các định dạng tệp thông dụng như văn bản, CSV và Excel, do đó việc xử lý không yêu cầu hệ thống chuyên dụng như CMJ. Mặc dù dữ liệu được cung cấp bằng cách sử dụng thẻ nhớ USB được mã hóa, nhưng nó vẫn có thể được xử lý trên máy tính thông thường, do đó vẫn có nguy cơ rò rỉ dữ liệu. Chúng tôi muốn thấy các quy tắc hoạt động, chẳng hạn như thu thập và tiêu hủy, được xem xét và thiết lập để đảm bảo rằng thông tin cá nhân được cung cấp, bao gồm cả thông tin dưới dạng giấy tờ, được quản lý đúng cách. |
|---|---|
| Các biện pháp đã thực hiện | Chúng tôi đã đưa ra quy định rằng bộ phận tiếp nhận thông tin cá nhân phải trả lại hoặc hủy thông tin đó khi việc sử dụng thông tin đó kết thúc và bộ phận cung cấp thông tin cá nhân phải xác minh tình trạng trả lại hoặc hủy. Ngoài ra, chúng tôi đã thay đổi định dạng của "Biểu mẫu yêu cầu cung cấp thông tin cá nhân". |
| ý kiến | Khi dữ liệu điện tử chứa thông tin cá nhân được mang ra khỏi khuôn viên trường, dữ liệu đó sẽ được quản lý bằng "Sổ quản lý thu hồi thông tin cá nhân". Tuy nhiên, khi cung cấp thông tin cá nhân cho các khoa khác trong cùng cơ sở bằng thẻ nhớ USB, tại thời điểm thanh tra tại chỗ, việc cho mượn thẻ nhớ USB không được quản lý bằng sổ quản lý. Vì điều này là cần thiết để đảm bảo thu thập và hủy thông tin cá nhân một cách đầy đủ, ngoài 2 (2) (i) ở trên, chúng tôi muốn bạn xem xét sửa đổi "Biểu mẫu yêu cầu cung cấp thông tin cá nhân" bằng cách, ví dụ, lưu giữ thông tin trong sổ cái quản lý và, nếu thông tin được cung cấp dưới dạng điện tử, thêm một khoảng trống để nhập số thẻ nhớ USB đã cho mượn. |
|---|---|
| Các biện pháp đã thực hiện | Khi cung cấp thông tin cá nhân cho các khoa khác trong cùng cơ sở bằng thẻ nhớ USB, thông tin này sẽ được quản lý trong "Sổ quản lý thông tin cá nhân mang ra và trả lại" theo cách tương tự như khi thông tin được mang ra khỏi cơ sở, đồng thời việc xóa dữ liệu trên thẻ nhớ USB và trạng thái trả lại sẽ được kiểm tra trong sổ quản lý. Ngoài ra, nếu bạn được yêu cầu cung cấp thông tin cá nhân bằng thẻ nhớ USB, số thẻ nhớ USB được sử dụng sẽ được ghi trong "Biểu mẫu yêu cầu cung cấp thông tin cá nhân". |
ý kiến | Tất cả các tủ lưu trữ thông tin cá nhân đều có thể khóa được. Mặc dù các quy tắc vận hành phải được tuân thủ nghiêm ngặt, khóa tủ vào cuối ngày và mở khóa vào đầu ngày, nhưng tại thời điểm kiểm tra tại chỗ, vẫn còn những tủ có chìa khóa và người ta cho rằng tình hình vận hành cần được cải thiện. Ngoài ra, mặc dù chìa khóa được ban quản lý giữ và quản lý, nhưng không có ai quản lý việc ai đã lấy chúng, khi nào lấy hay khi nào trả lại chúng. Do đó, chúng tôi tin rằng cần phải cải thiện việc quản lý thông tin cá nhân được lưu giữ. Chúng tôi muốn bạn xem xét các hoạt động dựa trên việc sử dụng sổ quản lý cho mượn và các phương pháp quản lý được sử dụng cho thẻ nhớ USB tại các trường tiểu học đã được thanh tra tại chỗ vào năm 2009 (các thẻ nhớ USB được đánh số được lưu trữ trên các kệ có khóa và khi cho mượn thẻ nhớ USB, thẻ nhớ USB đó sẽ được đổi lấy thẻ chấm công của nhân viên thông qua bộ phận quản lý để có thể biết rõ trạng thái cho mượn và người dùng). |
|---|---|
| Các biện pháp đã thực hiện | Chìa khóa được quản lý tập trung trong hộp chìa khóa có mã PIN và tủ sẽ được mở khóa bất cứ khi nào cần thiết. |
| ý kiến | Quyền truy cập được thiết lập cho mỗi nhân viên sử dụng CMJ. Mặc dù nhân viên bán thời gian bị cấm truy cập thông tin cá nhân trong CMJ, nhưng họ được cấp các quyền truy cập giống như nhân viên chung. Kết quả là, màn hình hiển thị cùng một menu truy cập như của nhân viên nói chung, giúp họ dễ dàng truy cập. Theo quan điểm quản lý phù hợp, chúng tôi muốn bạn cân nhắc thực hiện các biện pháp như giới hạn menu mà nhân viên bán thời gian có thể truy cập để họ không thể truy cập vào thông tin cá nhân không cần thiết về mặt vật lý cho công việc của họ. |
|---|---|
| Các biện pháp đã thực hiện | Chúng tôi đã kiểm tra lại trạng thái sử dụng của nhân viên và thiết lập các hạn chế truy cập để họ chỉ có thể truy cập vào những mục cần thiết cho công việc của mình. |
| ý kiến | Mật khẩu đăng nhập CMJ có thể được thiết lập tùy ý trong phạm vi tám chữ số, tuy nhiên, có những trường hợp mật khẩu được thiết lập có ít hơn tám chữ số. Để đảm bảo an ninh, chúng tôi yêu cầu bạn nỗ lực tăng cường độ mạnh cho mật khẩu của mình. Ngoài ra, mặc dù các quy tắc cơ bản đã được thiết lập liên quan đến ngày hết hạn mật khẩu, nhưng nhiệm vụ thực tế thay đổi mật khẩu lại được giao cho từng nhân viên. Để việc truy cập thông tin cá nhân trở nên khó khăn hơn và giảm nguy cơ thông tin bị rò rỉ, chúng tôi yêu cầu bạn nỗ lực đảm bảo thông tin được cập nhật thường xuyên. |
|---|---|
| Các biện pháp đã thực hiện | Hiện tại, rất khó để sửa đổi hệ thống để có thể buộc thay đổi mật khẩu, vì vậy, trước mắt, người quản trị hệ thống sẽ gửi email hàng loạt tới toàn thể nhân viên yêu cầu họ thay đổi mật khẩu ít nhất ba tháng một lần. Ngoài ra, mỗi email sẽ bao gồm lời nhắc nhở cho nhân viên sử dụng CMJ về việc sử dụng mật khẩu phức tạp nhất có thể (bao gồm nhiều chữ số, chữ hoa, chữ thường và số) và lưu ý xử lý thông tin cá nhân. |
| ý kiến | CMJ được trang bị chức năng xuất dữ liệu theo định dạng CSV và hiện tại bất kỳ người dùng nào cũng có thể sử dụng chức năng này, bao gồm quản trị viên hệ thống, quản lý và nhân viên nói chung. Ngoài ra, vì không cần thủ tục phê duyệt khi xuất dữ liệu nên nhân viên có thể lưu thông tin cá nhân ở định dạng CSV bất kỳ lúc nào, điều này làm dấy lên lo ngại về rủi ro trong việc quản lý thông tin cá nhân một cách phù hợp. Mặc dù việc loại bỏ chức năng này là điều mong muốn để loại bỏ rủi ro, nhưng tôi nghe nói rằng đây là chức năng cần thiết cho hoạt động kinh doanh, vì vậy tôi muốn bạn cân nhắc các biện pháp sau. Biện pháp đối phó 1: Các biện pháp cho chính chức năng xuất CSV Nếu có cơ hội nâng cấp phần mềm CMJ, vui lòng cân nhắc cải thiện hệ thống, chẳng hạn như triển khai các chức năng để giảm thiểu rủi ro. (Ví dụ, nếu một nhân viên muốn sử dụng một chức năng nào đó, chức năng đó sẽ không hoạt động trừ khi người giám sát phê duyệt trên hệ thống.) Biện pháp đối phó 2: Đánh giá quyền sử dụng cho chức năng xuất CSV Hiện tại, hệ thống có thể được bất kỳ người dùng nào sử dụng, nhưng chúng tôi đề nghị cân nhắc việc thiết lập quyền truy cập phù hợp và quản lý hệ thống đúng cách bằng cách kiểm tra cẩn thận những nhân viên nào cần chức năng xuất dữ liệu và tắt chức năng này đối với những nhân viên không cần. Trong các hệ thống xử lý thông tin cá nhân, khả năng xuất sang các định dạng tệp phổ biến như CSV có thể gây ra rủi ro quản lý đáng kể, do đó chúng tôi khuyên bạn nên cân nhắc quản lý chức năng và thẩm quyền chặt chẽ (dựa trên giả định có ý định xấu) có tính đến nhiều tình huống có thể xảy ra. |
|---|---|
| Các biện pháp đã thực hiện | Để cải thiện hệ thống, cần phải có một lượng lớn chi phí bổ sung, khiến việc triển khai trở nên khó khăn. Do đó, chúng tôi đã kiểm tra trạng thái sử dụng CMJ tại từng phòng ban và hạn chế chức năng xuất CSV bằng cách tổ chức lại để quyền truy cập để truy vấn, nhập liệu, xuất báo cáo và xử lý máy tính được cấp ở mức tối thiểu có thể. Để chuẩn bị cho việc cập nhật hệ thống quản lý học thuật, chúng tôi sẽ tiếp tục tìm hiểu xem liệu có phần mềm đóng gói nào có các chức năng như vậy sẽ khả dụng trong tương lai hay không và cũng sẽ xem xét liệu có biện pháp nào khác để giải quyết vấn đề này hay không. |
| ý kiến | Do cấu trúc bên trong của Trung tâm tuyển sinh nên rất khó để kiểm soát được ai ra vào phòng. Do người dự thi và nhà cung cấp cũng đến vào giờ nghỉ trưa nên hiện tại chỉ có một nhân viên trực trong giờ nghỉ trưa (trên thực tế, nhân viên đó cũng hỗ trợ trong giờ nghỉ trưa), nhưng điều này gây ra rủi ro về mặt quản lý thông tin cá nhân. Chúng tôi muốn xem xét cách thức thực hiện việc này vào giờ nghỉ trưa, thời điểm rủi ro cao nhất. |
|---|---|
| Các biện pháp đã thực hiện | Không chỉ từ góc độ quản lý thông tin cá nhân mà còn để tăng cường hệ thống quản lý văn phòng, chúng tôi đã quyết định rằng thay vì chỉ có một người trực, chúng tôi cũng phải có một người quản lý trực theo chế độ luân phiên và hai người sẽ chịu trách nhiệm xử lý giờ nghỉ trưa và quản lý văn phòng. |
| ý kiến | Hiện nay, người cuối cùng rời khỏi nơi làm việc sẽ khóa tủ lưu trữ thông tin cá nhân sau khi kết thúc công việc, nhưng không có mục xác nhận rõ ràng bằng danh sách kiểm tra, v.v. Để tránh tình trạng bỏ sót, v.v., chúng tôi khuyên bạn nên cân nhắc việc tạo và triển khai sổ kiểm tra cuối ngày, v.v. |
|---|---|
| Các biện pháp đã thực hiện | Để ngăn ngừa mọi sự thiếu sót, chúng tôi đã tạo và bắt đầu sử dụng biên bản kiểm tra cuối ngày. |
| ý kiến | Nhân viên bán thời gian cũng có thể xử lý thông tin cá nhân trong quá trình thực hiện nhiệm vụ của mình. Hiện nay, nghĩa vụ bảo mật được quy định trong nội quy lao động của công ty, nhưng tôi muốn bạn cân nhắc làm rõ điều này dưới hình thức thỏa thuận bảo mật. |
|---|---|
| Các biện pháp đã thực hiện | Khi tuyển dụng nhân viên bán thời gian, chúng tôi cung cấp cho họ "Thông báo tuyển dụng". "Thông báo tuyển dụng" này nêu rõ rằng họ sẽ không tiết lộ bất kỳ bí mật nào mà họ biết được trong quá trình làm việc và sẽ không vi phạm bất kỳ quy tắc hoặc quy định nào quy định các vấn đề cần thiết liên quan đến việc làm của họ. Chúng tôi sẽ nâng cao nhận thức về các vấn đề bảo mật và các vấn đề khác cần tuân thủ khi thực hiện nhiệm vụ, qua đó nâng cao nhận thức về rò rỉ thông tin, v.v. |
Thắc mắc về trang này
Phòng Thông tin Công dân, Văn phòng Thông tin Công dân, Văn phòng Công dân
điện thoại: 045-671-3883
điện thoại: 045-671-3883
Fax: 045-664-7201
Địa chỉ email: [email protected]
ID trang: 314-896-693
