これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第3回 -技術的安全管理措置の具体的対応-

  • 2015/11/19
  • これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第3回 -技術的安全管理措置の具体的対応- はコメントを受け付けていません。
2015/11/19
マイナンバーイラスト画像

いよいよ来年1月に向けてマイナンバーの通知カードの送付も進んできました……と言いたいところですが、まだまだ順調に送付がされているとはいえないようです。

 

とはいえ、「通知カードの送付も遅れがちだから準備もまだしなくていいよね」とはいきません。企業側も本腰入れて、来年からの対応に向けて準備をしなければいけませんね。

 

今回は、安全管理措置の中から、技術手的安全管理措置の対応について確認をしていきましょう。

技術的安全管理措置とは?

前回「これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第2回 –安全管理措置とは-」で、安全管理措置について概要をお伝えしました。

この「安全管理措置」。企業が個人番号や特定個人情報を漏えいしたり、紛失または毀損を防止するために設定された措置をいいます。

安全管理措置の中で、情シスに大きく関連するのは「技術的安全管理措置」になり、さまざまな対応が求められています。


技術的安全管理措置として求められているもの

1)アクセス制御

2)アクセス者の識別と認証

3)外部からの不正アクセス等の防止

4)情報漏えい等の防止


1)アクセス制御

ガイドラインでは、情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う、とされています。

まず、使用しているシステムやPC等での、フォルダやファイルへのアクセス権の設定が必要とされます。
具体的には、ユーザーアカウントごとによる特定個人情報ファイルへのアクセス権の設定と、特定個人情報ファイルを利用することができるシステムに対するアクセス権の設定です。

さらにアクセス権の可視化が求められます。
たとえば、事務取扱担当者の異動や退職など、変更が生じた際にミスが無いように定期的に特定個人情報ファイルのアクセス権一覧を確認します。

よくあるケースとして、システム管理者等の特権ユーザーが、無条件に管理者権限で特定個人情報ファイルを参照できるようになっていたりしますが、利用者を限定する意味でも、特権ユーザーであっても権限は極力最小化し取り扱うようにすべきといえます。

2)アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する、とされています。

つまり、特定個人情報ファイルへアクセスできる者の識別と認証設定がポイントです。

ログイン時のユーザ認証(ID/パスワード)は基本的な機能とし、さらにユーザーアカウントの使いまわしや不正利用がされないようユーザ認証を行うようにし、実際の利用者が特定できるようにします。

ユーザ認証には、ID/パスワードを設定し利用する、ICカードなど物理的な物を利用する、指紋や虹彩などの身体的特徴を利用する、などから複数利用する事により認証制度を高め、ユーザアカウントの不正利用ができないようにすると良いでしょう。

3)外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する事が求められます。

不正アクセスの方法は多岐に渡っています。外部とのやり取りが多いメールだけでも、ウイルスやマルウェアを使った標的型メール攻撃、ロールプレイング型の標的型メール攻撃、フィッシングメール等の攻撃があります。
他にも、ウイルスに感染した端末がネットワーク上で他の端末にウイルスを拡大したり、正規Webサイトを改ざんしダウンロードさせるなど、様々な手口があります。

不正アクセス防止のためには、外部からのサイバー攻撃を防ぐため、WAF(Web Application Firewall)による入口対策を行うなどします。
また内部に侵入されたとしても、特定個人情報を外部に流出させないように、内部から外部への不正なアクセスを遮断する仕組みも必要でしょう。

さらに不正なファイルの配置やファイル改ざんなどを検知できるシステムを導入することで、外部からの侵入を検知し対応します。
ハード面でも、様々な機器のログを取得し分析することで、外部からの侵入を検知し対応策を講じるようにします。

ウイルス対策については、ウイルスを仕込む側とのいたちごっこ状態ではありますが、やはりしっかり対策を講じる必要があります。
ウイルス駆除ツール以外に、エンドポイントやゲートウェイでウイルスを駆除できるようなシステム構成も求められるでしょう。

4)情報漏えい等の防止

情報漏えい等の防止では、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えいなどを防止するための措置を講ずる事とされています。

この点については、日々の業務上での取り扱いとなるため、特に社員の方々の認識と理解、ITリテラシーが重要なポイントとなります。

●日常業務でデータファイルを送る際には、必ずデータの暗号化がされている状態になっている

●電子メールに添付するデータにはパスワードがかけられている

●第三者の承認を利用し、うっかりミスや不正なファイル転送をさせない仕組みにする

●ログ管理していることを周知し内部犯行に対する抑止効果をあげる

●万が一有事が発生した際に、後追いができる仕組みになっている

●特定個人情報を取り扱うPC等に、外部からの持込みUSBメモリなどの物理デバイスを利用させない

●Wi-FiやBluetoothなどの利用許可を設ける

データ量が多かったり、支店や営業所など拠点ごとに特定個人情報取扱担当者を置かなければならない場合には、特定個人情報を社員個人のPC等にダウンロードさせないようにするため、シンクライアント等の仕組みを利用し、情報を特定のサーバだけに保管するなども一考でしょう。

技術的安全管理措置の対応は、専門性も求められコストも生じる事から、企業規模に応じて行うべきだと考えています。

またアクセス制限、アクセス者の識別と認証、外部からの不正アクセス等の防止への対策を講じたとしても、情報漏えい等の防止ができていなければ全く意味がありません。
いかにしてヒューマンエラーをしない、させないための対策が、一番肝要かもしれません。

成澤 紀美
社会保険労務士法人スマイング代表社員。
IT業界に精通した社会保険労務士として、人事労務管理の支援を中心に活動。企業の視点に立った労務管理セミナーや研修を行っている。
2014年3月に「IT業界 人事労務の教科書」を出版。他に「企業実務」(日本実業出版社)、「労務事情」(産労総合研究所)、「@IT自分戦略研究所」(アイティメディア)のコラムなど執筆も多数。

 

所属:社会保険労務士法人スマイング

関連記事

ピックアップ記事

  1. 2018/06/27 あと1年半まで迫ったWindows 7のサポート終了。しっかりとしたPC…
  2. 2018/06/25 【時代は変わるよどこまでも】時代はスマホファーストに完全移行し、PCが使…
  3. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  4. 2018/06/18 過去の記事にて、今、「攻めの情シス」に注目が集まっていることを紹…
  5. 2018/06/11 【無限ループ】情シス本来の仕事を鈍化させるヘルプデスクの怪 ITで困っ…
  1. 【情シス女子】第42回・番外編「情シスをよく知る情シス”サポート”女子」清田さん・川合さん

  2. 【総務・人事・経理ワールド2018】見えてきた、働き方改革と情シスの関係

  3. 情シスの集い「PCNW」2018・東京大会レポート

  4. いまさら聞けない【情シス基礎知識】そういえば、基幹システムってなに?

  5. 【情シス女子】第41回「これぞISO総研だというサイトをつくっていきたい!」永見花奈さん

  6. ハイブリィド、情報システム部門採用に特化した人材紹介サービス「情シスCareer」をスタート

  7. ハイブリィド、AIを活用した情報システム部門の業務負荷を軽減する「IT-Manager SD」をリリース

  8. ハイブリィド、ビジネスとテクノロジーをリードする情報システムに特化した教育研修「ITマネジメントスクール」を開講

  9. 【情シス講座】サポート終了目前のWindows7!Windows10への移行で知っておくこと

  10. 【情シス マネジメント】人材パラダイム! スマホネイティブ世代との向き合い方

関連サイト

情シス採用 人材紹介サービス


 
情シスの戦略・企画人材育成


 
情シス向け業務支援ツール

新着記事

  1. 2018/07/18 システム運用やヘルプデスクでのトラブル。またはこれからのマインド…
  2. 2018/07/17 「総務・人事・経理ワールド2018」が、7月11日(水)〜13日…
  3. 2018/07/13 今年も年に一度のPCNW大会がスタート 「PC・ネットワークの管理…

おすすめ記事

  1. 2018/06/15 Windows7のサポート終了までおよそ1年半。Windows10への移…
  2. 2018/05/23 時代のクラウド移行の流れもあり、Office365を導入する企業が増えて…
ページ上部へ戻る