企業には、マイナンバーのセキュリティ対策として押さえておかなければいけないポイントが幾つかあります。今回は、このことについての説明記事を紹介します。
1. マイナンバーへのアクセスログの保存・検証
マイナンバーへのアクセスログの保存・検証
アクセスログを管理できる体制にしておき、定期的に確認・不審な動きがないか検証します。 また、USBなどへのデータの書き出しについても、制限するとともにデータを残すようにしておきます。
アクセスログが残っていると、いざという時の検証に役立ちます。
データ保存は大切ですね。
via markezine.jp
2.アクセス制御
アクセス制御個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定する。
ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
政府が発表した技術的安全措置に含まれているのが、アクセス制御です。
次の項で、そのガイドラインの抜粋を紹介します。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」からの抜粋
技術的安全管理措置 事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。
a アクセス制御 情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲
を限定するために、適切なアクセス制御を行う。
b アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
c 外部からの不正アクセス等の防止 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
d 情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
PCを使ったマイナンバー管理をしているなら、技術的安全管理措置は、事業者なら必ずやらなければならないようです。
via www.sr-mao.jp
3. ファイアウォール等を設置
ファイアウォールは、企業のネットワークのように機密性の高いネットワークを、インターネットのようなオープンなネットワークから分離するためにあります。オープンなネットワークは、さまざまな人が趣味や仕事で利用していますが、当然そこには悪意を持った人も数多く存在します。インターネットに接続するということは、だれでも悪意を持った攻撃にさらされる可能性があります。そのような攻撃から、機密性の高いネットワークを守る“防火壁”の役割を果たすシステムのことを、「ファイアウォール」と呼びます。
ファイアウォールは、あくまで外敵の侵入を防ぐ入口の壁なので、ホストの要塞化、アンチウイルスソフトウェアの導入なども検討してください。
4. パソコンの外部持ち出しにも注意
パソコンの外部持ち出しを禁止特定個人情報が入ったPC自体を外部に持ち出す事は、盗難や置き忘れなどの可能性があり非常に危険です。特定個人情報のデータが入ったPCの持ち出しを禁止する必要があります。
類搬送時には漏えいリスクを低減するために施錠可能な搬送容器による運搬をおすすめします。また、データ持ち出し時にはデータ紛失・盗難時のリスクを低減するため、パスワード保護や暗号化処理をおすすめします。
ノートPCなどの持ち出しを全面的に禁止するのは、今のご時世なかなか難しいところです。
やはり、パスワード保護や暗号化処理といった対策に落ち着くのではないでしょうか?