今さら聞けない☆マイナンバーの基本≪14≫安全管理措置⑤

ここでは、マイナンバー取扱いの安全管理措置の4分類のうち「技術的安全管理措置」について解説します。マイナンバーを取り扱う事業者は、マイナンバーが漏えいしないよう、情報システムなどITの利活用に関する技術的な保護策を講じなければなりません。

技術的安全管理措置

マイナンバーを取り扱う事業者は、マイナンバーが漏えいしないよう、情報システムなどITの利活用に関する技術的な保護策を講じなければなりません。
情報セキュリティに関しては、情報セキュリティマネジメントシステム(ISMS)適合性評価制度における考え方や手順などが参考になります。
セキュリティに関する抜け穴を突かれないためには、全体を把握してセキュリティ対策を行うべきですが、これにはある程度体系的な取り組みが求められます。
特に情報セキュリティに関するリスクアセスメントを行い、どのようなリスクがどの程度発生する見込みがあるかを見極め、それに対してどのように対処するのかを判断することが重要です。
SYSCOM (USA) INC. (39152)

①アクセス制御

情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行います。

(例)
・マイナンバーと紐付けてアクセスできる情報をアクセス制御で限定する

・ユーザーIDにアクセス権を付与して使用者を限定する

アクセス制御とは、識別情報に基づいて情報資産に対する権限保持者と非権限保持者を区別し、許可/不許可を行う仕組みです。

中小規模事業者の特例

•特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務担当者を限定することが望ましい。

•機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

②アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証します。

(例)
・ユーザーID、パスワード、磁気・ICカード等を用いた識別方法を使用する

中小規模事業者の特例

①に同じ

③外部からの不正アクセス等の防止

情報システムを外部からの不正アクセスまたは不正ソフトウエアから保護する仕組みを取り入れて、適切に利用します。

(例)
・社内外の通信を中継・監視するファイアウォールを設置する

・セキュリティ対策ソフウェアトを導入する

・機器やソフトウェアの自動更新機能を用いて、常に最新の状態に保つ

【外商担当者は個人情報をイニシャル等の形式で登録】
(小売業(百貨店・スーパー):約10,000 人)

・F 社では携帯電話には個人情報を登録しないことをルールとしている。外商担当者は、
個人情報をイニシャルで登録するなど、個人情報と識別できない形で登録することに
なっている。また、ラインの中で誰がどの情報を持っているか登録することになって

不正アクセスとは?

不正アクセスとは、ちゃんとしたアクセス権限を持たない人が不当に取得したアクセス権により、不正にコンピュータを操作する、又は操作することを試みることです。

具体的には、以下のようなものがあります。

●ソフトウェアの脆弱性(弱点)をついて、データを盗み見たり、削除・改ざんする。

●盗聴や、総当たり攻撃(知りたい情報について、あらゆるパターンを片っ端から検証する)によってパスワードを盗み、盗聴窃取したアカウント情報などを使って他人になりすまし、迷惑メールをばらまいたりする。

●ウイルスなどを仕掛けて、他人のコンピュータに侵入したり、侵入したコンピュータを踏み台にして他のコンピュータを攻撃したりする。

上記のような被害を被った場合、例えばデータの盗聴は情報の漏えいに繋がります。

④情報漏えい等の防止

特定個人情報などをインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講じます。

(例)
・通信経路を暗号化する

・パスワードにより保護する

技術的安全管理措置においては、外部に送信する際の通信経路における情報漏えい等を防止する措置のみが、義務付けられているに留まります。
もちろん、万全を期するのであれば、社内システム上での保存、社内イントラでの通信を行う際にも、暗号化等の措置を講じておくことが望ましいのは、言うまでもありません。