2016年05月17日
マイナンバー制度 技術的安全管理措置
こんばんは。長い梅雨の期間に入り、夏が待ち遠しい?、うるま社労士です。
さて、引き続き、マイナンバー制度について書いていこうと思いますので、お付き合いください。
ガイドラインで、
「事業者は、特定個人情報等の適正な取扱いのために、a~dに掲げる技術的安全管理措置を講じなければならない。 」
とされています。
a) アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うようにする。
具体例:
・ 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
・ 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
・ ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を
事務取扱担当者に限定する。
b)アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
具体例:
・事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等で識別する。
・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。
・ユーザアカウント制御により、事務取扱担当者を限定する。
c)外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
具体例:
・ 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
・ 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
・ 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
・ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ ログ等の分析を定期的に行い、不正アクセス等を検知する。
d)情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
具体例:
・ 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等がある。
・ 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる
保護等がある。
パソコンで、個人番号を保存・使用する場合は、ユーザアカウント制御で事務取扱担当者のみを操作できる様にすることはすぐに可能ですので、実施したいところです。また、ウィルスがどこから侵入するかわかりませんので、ウィルスソフトの導入
は必ずしておきましょう。
参考:特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/160101_guideline_jigyousya.pdf
さて、引き続き、マイナンバー制度について書いていこうと思いますので、お付き合いください。
ガイドラインで、
「事業者は、特定個人情報等の適正な取扱いのために、a~dに掲げる技術的安全管理措置を講じなければならない。 」
とされています。
a) アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うようにする。
具体例:
・ 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
・ 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
・ ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を
事務取扱担当者に限定する。
b)アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
具体例:
・事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等で識別する。
・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。
・ユーザアカウント制御により、事務取扱担当者を限定する。
c)外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
具体例:
・ 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
・ 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
・ 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
・ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ ログ等の分析を定期的に行い、不正アクセス等を検知する。
d)情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
具体例:
・ 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等がある。
・ 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる
保護等がある。
パソコンで、個人番号を保存・使用する場合は、ユーザアカウント制御で事務取扱担当者のみを操作できる様にすることはすぐに可能ですので、実施したいところです。また、ウィルスがどこから侵入するかわかりませんので、ウィルスソフトの導入
は必ずしておきましょう。
参考:特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/160101_guideline_jigyousya.pdf
画像一覧