これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第3回 -技術的安全管理措置の具体的対応-/ジョーシス

  • 2015/11/19
  • これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第3回 -技術的安全管理措置の具体的対応-/ジョーシス はコメントを受け付けていません。
2015/11/19
マイナンバーイラスト画像

いよいよ来年1月に向けてマイナンバーの通知カードの送付も進んできました……と言いたいところですが、まだまだ順調に送付がされているとはいえないようです。

 

とはいえ、「通知カードの送付も遅れがちだから準備もまだしなくていいよね」とはいきません。企業側も本腰入れて、来年からの対応に向けて準備をしなければいけませんね。

 

今回は、安全管理措置の中から、技術手的安全管理措置の対応について確認をしていきましょう。

技術的安全管理措置とは?

前回「これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第2回 –安全管理措置とは-」で、安全管理措置について概要をお伝えしました。

この「安全管理措置」。企業が個人番号や特定個人情報を漏えいしたり、紛失または毀損を防止するために設定された措置をいいます。

安全管理措置の中で、情シスに大きく関連するのは「技術的安全管理措置」になり、さまざまな対応が求められています。


技術的安全管理措置として求められているもの

1)アクセス制御

2)アクセス者の識別と認証

3)外部からの不正アクセス等の防止

4)情報漏えい等の防止


1)アクセス制御

ガイドラインでは、情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う、とされています。

まず、使用しているシステムやPC等での、フォルダやファイルへのアクセス権の設定が必要とされます。
具体的には、ユーザーアカウントごとによる特定個人情報ファイルへのアクセス権の設定と、特定個人情報ファイルを利用することができるシステムに対するアクセス権の設定です。

さらにアクセス権の可視化が求められます。
たとえば、事務取扱担当者の異動や退職など、変更が生じた際にミスが無いように定期的に特定個人情報ファイルのアクセス権一覧を確認します。

よくあるケースとして、システム管理者等の特権ユーザーが、無条件に管理者権限で特定個人情報ファイルを参照できるようになっていたりしますが、利用者を限定する意味でも、特権ユーザーであっても権限は極力最小化し取り扱うようにすべきといえます。

2)アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する、とされています。

つまり、特定個人情報ファイルへアクセスできる者の識別と認証設定がポイントです。

ログイン時のユーザ認証(ID/パスワード)は基本的な機能とし、さらにユーザーアカウントの使いまわしや不正利用がされないようユーザ認証を行うようにし、実際の利用者が特定できるようにします。

ユーザ認証には、ID/パスワードを設定し利用する、ICカードなど物理的な物を利用する、指紋や虹彩などの身体的特徴を利用する、などから複数利用する事により認証制度を高め、ユーザアカウントの不正利用ができないようにすると良いでしょう。

3)外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する事が求められます。

不正アクセスの方法は多岐に渡っています。外部とのやり取りが多いメールだけでも、ウイルスやマルウェアを使った標的型メール攻撃、ロールプレイング型の標的型メール攻撃、フィッシングメール等の攻撃があります。
他にも、ウイルスに感染した端末がネットワーク上で他の端末にウイルスを拡大したり、正規Webサイトを改ざんしダウンロードさせるなど、様々な手口があります。

不正アクセス防止のためには、外部からのサイバー攻撃を防ぐため、WAF(Web Application Firewall)による入口対策を行うなどします。
また内部に侵入されたとしても、特定個人情報を外部に流出させないように、内部から外部への不正なアクセスを遮断する仕組みも必要でしょう。

さらに不正なファイルの配置やファイル改ざんなどを検知できるシステムを導入することで、外部からの侵入を検知し対応します。
ハード面でも、様々な機器のログを取得し分析することで、外部からの侵入を検知し対応策を講じるようにします。

ウイルス対策については、ウイルスを仕込む側とのいたちごっこ状態ではありますが、やはりしっかり対策を講じる必要があります。
ウイルス駆除ツール以外に、エンドポイントやゲートウェイでウイルスを駆除できるようなシステム構成も求められるでしょう。

4)情報漏えい等の防止

情報漏えい等の防止では、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えいなどを防止するための措置を講ずる事とされています。

この点については、日々の業務上での取り扱いとなるため、特に社員の方々の認識と理解、ITリテラシーが重要なポイントとなります。

●日常業務でデータファイルを送る際には、必ずデータの暗号化がされている状態になっている

●電子メールに添付するデータにはパスワードがかけられている

●第三者の承認を利用し、うっかりミスや不正なファイル転送をさせない仕組みにする

●ログ管理していることを周知し内部犯行に対する抑止効果をあげる

●万が一有事が発生した際に、後追いができる仕組みになっている

●特定個人情報を取り扱うPC等に、外部からの持込みUSBメモリなどの物理デバイスを利用させない

●Wi-FiやBluetoothなどの利用許可を設ける

データ量が多かったり、支店や営業所など拠点ごとに特定個人情報取扱担当者を置かなければならない場合には、特定個人情報を社員個人のPC等にダウンロードさせないようにするため、シンクライアント等の仕組みを利用し、情報を特定のサーバだけに保管するなども一考でしょう。

技術的安全管理措置の対応は、専門性も求められコストも生じる事から、企業規模に応じて行うべきだと考えています。

またアクセス制限、アクセス者の識別と認証、外部からの不正アクセス等の防止への対策を講じたとしても、情報漏えい等の防止ができていなければ全く意味がありません。
いかにしてヒューマンエラーをしない、させないための対策が、一番肝要かもしれません。

成澤 紀美
社会保険労務士法人スマイング代表社員。
IT業界に精通した社会保険労務士として、人事労務管理の支援を中心に活動。企業の視点に立った労務管理セミナーや研修を行っている。
2014年3月に「IT業界 人事労務の教科書」を出版。他に「企業実務」(日本実業出版社)、「労務事情」(産労総合研究所)、「@IT自分戦略研究所」(アイティメディア)のコラムなど執筆も多数。

 

所属:社会保険労務士法人スマイング

関連記事

ピックアップ記事

  1. 2018/4/9   まさに熱狂といった言葉が相応しく、大盛況で幕を閉じた第1回目から約…
  2. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  3. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  4. 今回の情シス女子は、アクサ生命保険の南嶋千春さんです。南嶋さんが今携わっているのが、短期間でソフトウ…
  1. BC Vol:01「何が入っているの?ブロックチェーンの気になる中身

  2. 「日本のエンジニアの給料は高いか、安いか」

  3. IoT Vol:0「考える前に、事例でサクっとわかるIoT!!」

  4. 【第2回AI・人工知能EXPO】進化やまないAIサービスの最前線を突撃レポート!!

  5. BC Vol.0 ブロックチェーンとはいったい何なのか? 何がすごいのか?

  6. AI Vol.0 コンピュータは人の知能の代替となり得るのか? 〜魅惑的なAIの世界へようこそ〜

  7. 使える! 情シス三段用語辞典57「シングルサインオン」

  8. 使える! 情シス三段用語辞典56「RPA(ロボティック・プロセス・オートメーション)」

  9. 使える! 情シス三段用語辞典51「Raspberry Pi(ラズベリーパイ)」

  10. 【情シス女子】第38回 「今は何もできないけれど『いないと困る存在』に絶対なる!」 森岡友美さん

登録されているプレスリリースはございません。

新着記事

  1. IoTは、実は30年も前から考えられていたのです ボタンひとつで欲しいもの…
  2. ワタシたちは、いろいろお役に立ちはじめています すごいことはわかっていても、どこがどうすご…

おすすめ記事

  1. 2018/4/9   まさに熱狂といった言葉が相応しく、大盛況で幕を閉じた第1回目から約…
  2. 「暗号通貨の一種ですか? いいえ、テクノロジーです」 2017年12月にその価格が20…

登録されているプレスリリースはございません。

ページ上部へ戻る