マイナンバー制度に対する技術的安全管理措置を知っていく。

技術的安全管理措置の構築について

マイナンバーをはじめとする特定個人情報を、電子データによって管理している場合に必要になってくる安全管理措置です。
紙媒体のみで管理を行っている場合は、必要ありません。
しかし、PCでの事務処理が一般的な事業所ではほとんどの場合、この技術的安全管理措置を講じる必要があります。

アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。

具体的には、特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定し、対象となるシステムについては事務取扱担当者が正当なアクセス権を有する者である事を認証する必要がある。そのための手法として、ユーザーID、パスワード、磁気・ICカード等を使ったアクセス者の識別・認証がガイドラインに例示されており、定期的なログ分析による不正アクセスの検知も必要とされている。

外部からの不正アクセスとは、主にインターネットを経由して社内のネットワークに侵入することを指しています。情報システムを活用している以上、外部からの侵入、遠隔操作、情報搾取、漏えいなどのリスクは常に起こり得ることです。

近年、コンピューターウィルスをはじめ、様々なサイバー犯罪が増加していますので、この脅威から防御するシステムをしっかり構築していかなければなりません。
パソコンにウィルス対策ソフトを入れることや、ファイアウォール・UTMなどのセキュリティ機器を設置することで、情報を守ることができます。

また、使用しているコンピューターのOS（windows 等）やアプリケーション等は、常に最新の状態に更新しておきましょう。 OSやアプリケーションに脆弱性（セキュリティ上の弱点）が見つかると、メーカーは、その脆弱性を改善したプログラムを配信・更新します。
それを更新せずそのままにしておくと、セキュリティ上の弱点をつかれ、ウィルスの侵入や遠隔操作等の被害に遭いやすくなってしまいます。

情報漏洩対策の見直しはまずクライアントPCの対策から

情報漏洩対策というと、情報が保存されるファイルサーバ等に目が行きがちですが、従業員が日々利用するクライアントPCの方が数が多い分、そこから情報が漏洩する可能性は高いと考えられます。
情報漏洩対策の見直しは、クライアントPCの対策から始めるのが効果的です。

アクセス制御
情報システムを使用して個人番号関係 事務または個人番号利用事務を行う場 合、事務取扱担当者及び当該事務で取 り扱う特定個人情報ファイルの範囲を 限定するために、適切なアクセス制御 を行う
• 特定個人情報等を取り扱う機器を特定し、 その機器を取り扱う事務取扱担当者を限定 することが望ましい
• 機器に標準装備されているユーザー制御機 能(ユーザーアカウント制御)により、情 報システムを取り扱う事務取扱担当者を限 定することが望ましい
b.
アクセス者の識別と 認証
特定個人情報等を取り扱う情報システ ムは、事務取扱担当者が正当なアクセ ス権を有する者であることを、識別し た結果に基づき認証する
c.
外部からの不正アクセ ス等の防止
情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組み を導入し、適切に運用する
d.
情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情 報漏えい等を防止するための措置を講ずる