①　特定個人情報等の情報漏えい等を防止するために、特定個人情報等を取り扱う事務を実施する区域（以下「取扱区域」という。）を明確にし、物理的な安全管理措置を講ずる。

②　特定個人情報ファイルを取り扱う情報システムを管理する区域（以下「管理区域」という。）を明確にし、物理的な安全管理措置を講ずる。管理区域において、入退室管理及び管理区域へ持ち込む機器等の制限等の措置を講ずる。

③　行政機関等は、管理区域のうち、基幹的なサーバー等の機器を設置する室等（以下「情報システム室等」という。）を区分して管理する場合には、情報システム室等について、次に掲げる措置を講ずる。地方公共団体等は、次に掲げる項目を参考に、適切な措置を講ずる。

イ　入退室管理

(1)　情報システム室等に入室する権限を有する者を定めるとともに、用件の確認、入退室の記録、部外者についての識別化、部外者が入室する場合の職員の立会い等の措置を講ずる。また、情報システム室等に特定個人情報等を記録する媒体を保管するための施設を設けている場合においても、必要があると認めるときは、同様の措置を講ずる。

(2)　必要があると認めるときは、情報システム室等の出入口の特定化による入退室の管理の容易化、所在表示の制限等の措置を講ずる。

(3)　必要があると認めるときは、入室に係る認証機能を設定し、及びパスワード等の管理に関する定めの整備（その定期又は随時の見直しを含む。）、パスワード等の読取防止等を行うために必要な措置を講ずる。

ロ　情報システム室等の管理

外部からの不正な侵入に備え、施錠装置、警報装置、監視設備の設置等の措置を講ずる。