漏えいは命取り。マイナンバーのセキュリティ対策

会社内でルールを決めても、マイナンバー(個人番号)情報が外部に漏れてしまっては罰則の対象となります。そうなる前に、早めの対策を!

利用履歴をアクセスログで管理する

効果的なToDoリストを作る方法5ステップ - ライフハックノート | ライフハックノート (28967)

マイナンバー制度のガイドラインに則ったファイルへのアクセスログの取得も可能。(H27.7月対応予定)
万が一、事故が起きた場合も、原因究明・再発防止に役立てられます。
特定個人情報の漏洩が発覚した場合、該当情報に対する過去のアクセス履歴が仔細に残っていれば、その内容をさかのぼることで漏洩の経緯をすぐ把握し、迅速な対応が取れること。そして、もし他社や第三者による情報漏洩事故に巻き込まれそうになった場合でも、アクセス履歴がログとしてきちんと残っていれば、自社からの漏洩がないことや、自社ではきちんとしたセキュリティ対策を施していたことを外部に対して証明できます。

もう1つの理由は、ログを記録することが内部不正の抑止力として働くからです。特定個人情報に対するアクセス履歴を仔細漏らさずすべて記録していることを社内で周知すれば、それだけで大抵の人は不正にマイナンバー情報を取得しようという気が失せるでしょう。ことあるごとに、特定個人情報のアクセス履歴を取っていることを社内で知らしめることで、従業員のマイナンバー情報を直接扱う機会の多い人事部門をはじめ、社内関係者による不正利用をけん制する効果が期待できるのです。

マイナンバーへのアクセスログを管理できる体制にしておけば、「いつ・誰が・何を・どのように」操作したのか記録し、USBなどへのデータの書き出しの制限が可能です。

アクセス制御

Hacking The Bottom Line  |  TechCrunch (28982)

b アクセス者の識別と認証
○ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事
務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーアカウン
ト制御)により、情報システムを取り扱う事務取扱担当者を限定す
ることが望ましい。
パスワードの設定やデータの暗号化、アクセス権限の付与により担当者以外のアクセスを限定するシステムが必要となります。

外部からの不正アクセス等を防止する

不正アクセスの手口!その事例と対策・通報(被害届) - セキュリティソフトNAVI (28985)

一般的にはネットワークファイアウォールと呼ばれるセキュリティ対策の一つだ。パソコンにウィルス対策を行い、そのパソコンが繋がっている社内ネットワークにもセキュリティを行うことで二重の対策を行おう。
ウイルス対策ソフト、OSのアップデートはもちろん、スパムメール等を開かないといった対策も必要です。

マイナンバーを取り扱う区域の管理

グループ各社の取り組み | マネジメント体制 | CSR 企業の社会的責任 | 企業・IR | ソフトバンクグループ (28991)

マイナンバーを管理する部屋や区域を決め、エリア内への入退室管理を行う。
 (※ICカード、ナンバーキー等による入退室管理システムの設置など)

■エリア内は、壁や間仕切り等を設置したり、座席配置に工夫をし、のぞき見を防ぐ。

■エリア内への持ち込み機器等の制限を行う。

【セキュリティエリアの設置】
 ①マイナンバーを取扱ったり保管する区域、即ち『セキュリティエリア』を決める。
  
 ②①で決めた『セキュリティエリア』に入る際は、一定の手続きを踏む(従業員・外部来
   訪者の入退室管理)。

 ③具体的には、ICカード・ナンバーキー等による入退管理システム設置が挙げられる。

 ④マイナンバーを取り扱うPCなどは、壁やパーテーションなどで隔離し、ショルダーハッ
  キング(肩越しにのぞき見)されないような向きに設置する等が必要。

外部持ち出しや盗難防止策の構築

[News] ノートパソコン専用セキュリティロック「セキュリティワイヤーロック ESL-21シリーズ」新発売 (29012)

①マイナンバーを取り扱う機器類(PC)や記憶媒体、書類等は、セキュリティエリアが無人
  になる際には必ず鍵付キャビネットに保管する。

 ②マイナンバーをPCにて保管管理する際は、PCをワイヤーロック等にて固縛するなどして
  盗難防止策を構築することが必要。

特定個人情報が入ったパソコン自体を外部に持ち出す事は、盗難や置き忘れなどの可能性もあり、危険です。外部に持ち出すパソコンには特定個人情報は入れずに最低限のデータのみを持ち出すようにする必要があります。
パソコンの置き忘れにも注意しましょう。

個人番号の削除、機器及び電子媒体等の廃棄

風雲!コネタ城 椅子に「廃棄」って書いてあると、クビっぽい - デイリーポータル Z:@nifty (29016)

○個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することとなります。
○削除又は廃棄の作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する必要があります。
≪手法の例示≫
*特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
*特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元
不可能な手段を採用する。
*特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
*特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
*個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした保管手続を定める。
【中小企業者における対応方法】
○特定個人情報等を削除・廃棄したことを確認する必要があります。