マイナンバーに対して企業に求められる4つの安全管理措置の一つに挙げられている「技術的安全管理措置」。今回は、この措置を細かく解説した記事を集めてみました。
アクセスを制御する。
技術的安全管理措置の構築についてマイナンバーをはじめとする特定個人情報を、電子データによって管理している場合に必要になってくる安全管理措置です。
紙媒体のみで管理を行っている場合は、必要ありません。
しかし、PCでの事務処理が一般的な事業所ではほとんどの場合、この技術的安全管理措置を講じる必要があります。
アクセス者の識別と認証
アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。
具体的には、特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定し、対象となるシステムについては事務取扱担当者が正当なアクセス権を有する者である事を認証する必要がある。そのための手法として、ユーザーID、パスワード、磁気・ICカード等を使ったアクセス者の識別・認証がガイドラインに例示されており、定期的なログ分析による不正アクセスの検知も必要とされている。
そのためには、顔認証や静脈認証、指紋認証などがオススメです。
外部からの不正アクセス等の防止
外部からの不正アクセスとは、主にインターネットを経由して社内のネットワークに侵入することを指しています。情報システムを活用している以上、外部からの侵入、遠隔操作、情報搾取、漏えいなどのリスクは常に起こり得ることです。近年、コンピューターウィルスをはじめ、様々なサイバー犯罪が増加していますので、この脅威から防御するシステムをしっかり構築していかなければなりません。
パソコンにウィルス対策ソフトを入れることや、ファイアウォール・UTMなどのセキュリティ機器を設置することで、情報を守ることができます。また、使用しているコンピューターのOS(windows 等)やアプリケーション等は、常に最新の状態に更新しておきましょう。 OSやアプリケーションに脆弱性(セキュリティ上の弱点)が見つかると、メーカーは、その脆弱性を改善したプログラムを配信・更新します。
それを更新せずそのままにしておくと、セキュリティ上の弱点をつかれ、ウィルスの侵入や遠隔操作等の被害に遭いやすくなってしまいます。
マイナンバー制度がスタートするのをきっかけに、改めてセキュリティが万全か確かめてみてはいかがですか?
情報漏えい等の防止
情報漏洩対策の見直しはまずクライアントPCの対策から情報漏洩対策というと、情報が保存されるファイルサーバ等に目が行きがちですが、従業員が日々利用するクライアントPCの方が数が多い分、そこから情報が漏洩する可能性は高いと考えられます。
情報漏洩対策の見直しは、クライアントPCの対策から始めるのが効果的です。
また、委託先でのマイナンバー不正利用などがないように監督することも、漏えい防止に繋がりますよ。
経済産業省のガイドラインでは?
アクセス制御
情報システムを使用して個人番号関係 事務または個人番号利用事務を行う場 合、事務取扱担当者及び当該事務で取 り扱う特定個人情報ファイルの範囲を 限定するために、適切なアクセス制御 を行う
• 特定個人情報等を取り扱う機器を特定し、 その機器を取り扱う事務取扱担当者を限定 することが望ましい
• 機器に標準装備されているユーザー制御機 能(ユーザーアカウント制御)により、情 報システムを取り扱う事務取扱担当者を限 定することが望ましい
b.
アクセス者の識別と 認証
特定個人情報等を取り扱う情報システ ムは、事務取扱担当者が正当なアクセ ス権を有する者であることを、識別し た結果に基づき認証する
c.
外部からの不正アクセ ス等の防止
情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組み を導入し、適切に運用する
d.
情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情 報漏えい等を防止するための措置を講ずる
もっと細かく安全措置について知りたいなら、セミナーなどに参加してみるのが良いと思います。