4つある安全管理措置。「物理的安全管理措置」とは?

必ずどの企業も行わなければならない「安全管理措置」。今回は安全管理措置の一つである「物理的安全管理措置」についてまとめてみました。

安全管理措置は企業の義務

 (41588)
マイナンバーは非常に重要な個人情報ですので、漏えい・滅失・毀損等の防止、その他の適切な管理のために、必要かつ適切な安全管理措置を講じる義務があります。番号法により、全ての事業者は、マイナンバーについて安全管理措置を講ずることとされています。担当者任せではなく、会社として取り組む必要があります。安全管理措置の検討手順は、次の流れになります。

なぜ安全管理措置が必要なのか

 (41590)
なぜマイナンバーには、これほど厳重な情報セキュリティー対策が必要なのでしょうか。その理由として挙げられるのは、マイナンバーはサイバー攻撃者にとって非常に高い価値があり、さらに一旦外部に流出した場合には、その個人に甚大な被害をもたらすだけでなく、流出させてしまった企業に補償のための莫大なコスト損失と社会的信用の失墜をもたらすからです。
マイナンバーの保有でかなりのリスクがのしかかるんですね・・・企業としてその地位を失墜させないためにも、安全管理措置には不備のないように取り組みたいですね。

安全管理措置は4つの分野に分けられます

「組織的安全管理措置」
「人的安全管理措置」
「物理的安全管理措置」
「技術的安全管理措置」

物理的安全管理措置とは

 (41591)
文字通り、「物」について行うセキュリティ対策。不正や漏洩はこの「物」を介して行われますから、特に注意して取り組む必要があります。
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。物理的安全管理措置には以下の事項が含まれる。

①入退館(室)管理の実施
②盗難等に対する対策
③機器・装置等の物理的な保護

①入退館(室)管理の実施の上で望まれる事項
・個人データを取り扱う業務の、入退館(室)管理を実施している物理的に保護された室内での実施
・個人データを取り扱う情報システム等の、入退館(室)管理を実施している物理的に保護された室内等への設置

②盗難等に対する対策の上で望まれる事項
・離席時の個人データを記した書類、媒体、携帯可能なコンピュータ等の机上等への放置の禁止
・離席時のパスワード付きスクリーンセイバ等の起動
・個人データを含む媒体の施錠保管
・氏名、住所、メールアドレス等を記載した個人データとそれ以外の個人データの分離保管
・個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止

③機器・装置等の物理的な保護の上で望まれる事項
・個人データを取り扱う機器・装置等の、安全管理上の脅威(例えば、盗難、破壊、破損)や環境上の脅威(例えば、漏水、火災、停電)からの物理的な保護

具体例

・セキュリティレベルに応じたオフィスの区域分け
・Dカードによる執務エリアの入退出管理(アンチパスバック)
・訪問者カードの記入・保管
・PCの持ち出し・持ち込みの制限
・PCのワイヤー施錠
・記録媒体の持ち出し・持ち込みの制限
・事務局エリアへの携帯・スマートフォンの持ち込みを禁止
・PC/サーバのハードディスクの選定業者による物理的破壊および廃棄証明受領
・機密情報及び個人情報を含むデータのキャビネットへの格納及び施錠
・機密情報及び個人情報を含むデータのシュレッダー・溶解ボックスでの廃棄
・執務室、事務局内に防犯カメラを設置
かなり細かくチェックする必要がありますね。マイナンバーを取り扱う環境や経路など、しっかり把握しておかなければなりません。

情報セキュリティに対応

 (41592)
IT部門や、総務などの所属部署と兼務で情報セキュリティーをご担当されている方は、「技術的安全管理措置」と「物理的安全管理措置」への対策が求められることになります。
パソコンや携帯電話、スマートフォンを使わない企業はありませんが、情報セキュリティを担っている部署は特に注意が必要なんですね。

最後に

4つの分野に分けられる「安全管理措置」。今回は「物理的安全管理措置」についてまとめてみました。不正や漏洩を起こすのが人間であり、その対策をするのが「人的安全管理措置」でした。
一方「物理的安全措管理置」は、不正や漏洩するときに用いられるツールやその環境を管理するための措置であると言えます。特に、パソコンや携帯電話・スマートフォンは内部からも外部からもアクセスされやすいため高いセキュリティ管理が必要です。
企業全体で高レベルな安全管理措置を目指したいですね。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする