マイナンバーのセキュリティについて

マイナンバー制度では、個人情報の漏えいに対して厳しい罰則があるため、企業は厳格な管理体制を構築する必要がある。
　それについては内閣府・特定個人情報保護委員会が「特定個人情報の適正な取扱いに関するガイドライン」を発行し、マイナンバーを取り扱うすべての企業が特定個人情報に対して「安全管理措置」を講じなければならないとしている。
　同ガイドには、安全管理措置として「基本方針の策定」「取扱規定などの策定」「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」が示されている。

1.組織的安全管理措置
　責任者の設置、取扱担当者の明確化、取扱担当者が取り扱う特定個人情報の範囲の明確化など詳細な義務項目が定められているが、【中小規模事業者】にはそこまで細かい義務は求められていない。

2.物理的安全管理措置
　中小企業には「パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策」と緩やかな措置となっている。

3.技術的安全管理措置
　特定個人情報に対するアクセス制御やアクセス者の識別と認証は中小企業には義務化されていない。
　だが、現代のようにインターネットなど、ITを日常的に活用しながらで事業を営む環境では、情報システムの安全管理は中小企業にとっても重要な経営課題である。それゆえ、特定個人情報に対するアクセス制御、アクセス者の識別と認証、外部からの不正アクセス防止、情報漏えい防止などのような技術的安全管理は義務でなくても取り組むことが賢明である。

トレンドマイクロは、内部からの情報漏えいと外部からの攻撃による情報漏えいに備えるため、さまざまな脅威に対応する製品をラインナップしています。さまざまなポイントでマイナンバーを含む特定個人情報を守ります。

最近注目の「UTM（統合脅威管理）」とは？

UTMとは、複数のセキュリティ機能が統合された機器・サービスのことです。ネットワーク上の様々な脅威に対処する高機能のサービスとして、多くの企業で導入されています。

委託事業者の選定チェックシート
第三者認証（客観的評価）

プライバシーマークの取得をしている
ISMS（情報セキュリティマネジメントシステム）の認定を受けている
その他の第三者認証を受けている（具体的に記載）
規約・契約など

プライバシーポリシーなどに特定個人情報保護に関する記載がある
特定個人情報の管理方法についての記載がある
特定個人情報を目的外利用しない旨を明文化している
解約時に特定個人情報を完全に消去することを保証している
特定個人情報に特化した損害賠償責任などに関する記載がある
情報セキュリティ

情報システムに常に最新の不正侵入防止措置が施されている
全ての通信経路（内部通信も含め）が暗号化されている
特定個人情報の法定保存期間後に削除される機能を有している
特定個人情報に関するデータはディスク自体を暗号化している
事前に決められた担当者以外から特定個人情報にアクセスできない
特定個人情報データのアクセス手順と管理方法などが決められている
関連データベースのアクセスログを管理・保存している

1. マイナンバーへのアクセスログの保存・検証
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。
また、ＵＳＢなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。

2. アクセス制御
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定します。又は、アクセス権の付与により、特定個人情報ファイルを取り扱える者を限定します。

3. ファイアウォール等を設置
外部からの不正アクセスを防止するため、情報システムや外部ネットワークとの接続箇所にファイアウォール等を設置します。

4. 各PCのウイルス対策・アップデート
各PCにはウイルス対策がされているはずですが、その確認とともに、スパムメールに対しメールを開かないといった注意も必要です。また、各PCのOSのアップデートも必ず行っておきましょう。

5. パソコンの外部持ち出しにも注意
特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。

6. 情報の取り扱う区域を決めて隔離する
オフィス内でマイナンバーなどの特定個人情報等を取り扱う区域を区分します。その区域に入る際は、ICカードなどで入退室を管理することが理想です。