これだけ読めば大丈夫。【情シス必見】5分でわかるマイナンバー 第3回 -技術的安全管理措置の具体的対応-

2015/11/19
マイナンバーイラスト画像

いよいよ来年1月に向けてマイナンバーの通知カードの送付も進んできました……と言いたいところですが、まだまだ順調に送付がされているとはいえないようです。

とはいえ、「通知カードの送付も遅れがちだから準備もまだしなくていいよね」とはいきません。企業側も本腰入れて、来年からの対応に向けて準備をしなければいけませんね。

今回は、安全管理措置の中から、技術的安全管理措置の対応について確認をしていきましょう。

 

技術的安全管理措置とは?

前回「これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第2回 –安全管理措置とは-」で、安全管理措置について概要をお伝えしました。

この「安全管理措置」。企業が個人番号や特定個人情報を漏えいしたり、紛失または毀損を防止するために設定された措置をいいます。

安全管理措置の中で、情シスに大きく関連するのは「技術的安全管理措置」になり、さまざまな対応が求められています。


技術的安全管理措置として求められているもの

1)アクセス制御

2)アクセス者の識別と認証

3)外部からの不正アクセス等の防止

4)情報漏えい等の防止


1)アクセス制御

ガイドラインでは、情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う、とされています。

まず、使用しているシステムやPC等での、フォルダやファイルへのアクセス権の設定が必要とされます。
具体的には、ユーザーアカウントごとによる特定個人情報ファイルへのアクセス権の設定と、特定個人情報ファイルを利用することができるシステムに対するアクセス権の設定です。

さらにアクセス権の可視化が求められます。
たとえば、事務取扱担当者の異動や退職など、変更が生じた際にミスが無いように定期的に特定個人情報ファイルのアクセス権一覧を確認します。

よくあるケースとして、システム管理者等の特権ユーザーが、無条件に管理者権限で特定個人情報ファイルを参照できるようになっていたりしますが、利用者を限定する意味でも、特権ユーザーであっても権限は極力最小化し取り扱うようにすべきといえます。

2)アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する、とされています。

つまり、特定個人情報ファイルへアクセスできる者の識別と認証設定がポイントです。

ログイン時のユーザ認証(ID/パスワード)は基本的な機能とし、さらにユーザーアカウントの使いまわしや不正利用がされないようユーザ認証を行うようにし、実際の利用者が特定できるようにします。

ユーザ認証には、ID/パスワードを設定し利用する、ICカードなど物理的な物を利用する、指紋や虹彩などの身体的特徴を利用する、などから複数利用する事により認証制度を高め、ユーザアカウントの不正利用ができないようにすると良いでしょう。

3)外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する事が求められます。

不正アクセスの方法は多岐に渡っています。外部とのやり取りが多いメールだけでも、ウイルスやマルウェアを使った標的型メール攻撃、ロールプレイング型の標的型メール攻撃、フィッシングメール等の攻撃があります。
他にも、ウイルスに感染した端末がネットワーク上で他の端末にウイルスを拡大したり、正規Webサイトを改ざんしダウンロードさせるなど、様々な手口があります。

不正アクセス防止のためには、外部からのサイバー攻撃を防ぐため、WAF(Web Application Firewall)による入口対策を行うなどします。
また内部に侵入されたとしても、特定個人情報を外部に流出させないように、内部から外部への不正なアクセスを遮断する仕組みも必要でしょう。

さらに不正なファイルの配置やファイル改ざんなどを検知できるシステムを導入することで、外部からの侵入を検知し対応します。
ハード面でも、様々な機器のログを取得し分析することで、外部からの侵入を検知し対応策を講じるようにします。

ウイルス対策については、ウイルスを仕込む側とのいたちごっこ状態ではありますが、やはりしっかり対策を講じる必要があります。
ウイルス駆除ツール以外に、エンドポイントやゲートウェイでウイルスを駆除できるようなシステム構成も求められるでしょう。

4)情報漏えい等の防止

情報漏えい等の防止では、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えいなどを防止するための措置を講ずる事とされています。

この点については、日々の業務上での取り扱いとなるため、特に社員の方々の認識と理解、ITリテラシーが重要なポイントとなります。

●日常業務でデータファイルを送る際には、必ずデータの暗号化がされている状態になっている

●電子メールに添付するデータにはパスワードがかけられている

●第三者の承認を利用し、うっかりミスや不正なファイル転送をさせない仕組みにする

●ログ管理していることを周知し内部犯行に対する抑止効果をあげる

●万が一有事が発生した際に、後追いができる仕組みになっている

●特定個人情報を取り扱うPC等に、外部からの持込みUSBメモリなどの物理デバイスを利用させない

●Wi-FiやBluetoothなどの利用許可を設ける

データ量が多かったり、支店や営業所など拠点ごとに特定個人情報取扱担当者を置かなければならない場合には、特定個人情報を社員個人のPC等にダウンロードさせないようにするため、シンクライアント等の仕組みを利用し、情報を特定のサーバだけに保管するなども一考でしょう。

技術的安全管理措置の対応は、専門性も求められコストも生じる事から、企業規模に応じて行うべきだと考えています。

またアクセス制限、アクセス者の識別と認証、外部からの不正アクセス等の防止への対策を講じたとしても、情報漏えい等の防止ができていなければ全く意味がありません。
いかにしてヒューマンエラーをしない、させないための対策が、一番肝要かもしれません。

成澤 紀美
社会保険労務士法人スマイング代表社員。
IT業界に精通した社会保険労務士として、人事労務管理の支援を中心に活動。企業の視点に立った労務管理セミナーや研修を行っている。
2014年3月に「IT業界 人事労務の教科書」を出版。他に「企業実務」(日本実業出版社)、「労務事情」(産労総合研究所)、「@IT自分戦略研究所」(アイティメディア)のコラムなど執筆も多数。

 

所属:社会保険労務士法人スマイング

関連記事

ピックアップ記事

  1. 「重労働」「休みがとれない」などネガティブな印象を与える「ひとり情シス」という言葉ですが、日本の会社…
  2. 「攻めの情シス」が求められるとともに、昨今専任CIOの存在感が高まりを見せています。一方、日本におい…
  3. 『多くの人々の「笑顔」のために「感動」を届ける。』を企業理念に、人材・IT・サービスの3軸で…
  4. 2018/07/09 ITコンサルティング事業を主力とするハイブリィド株式…
  5. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  1. 【日経 XTECH EXPO 2018】~その4~ 働き方改革、ブロックチェーン、IoT、建設テック・・・、あらゆる分野に巻き起こるDXのうねり

  2. いつもの仕事場が “やりがいクエスト”になる!?社内仮想通貨「communitio」

  3. 【日経 XTECH EXPO 2018】~その3~ AI、DaaS…、「ネクストジェネレーション」を支えるソリューションの今!!

  4. 【日経 XTECH EXPO 2018】~その2~ 業務のお悩みが解決するソリューションが大集合!

  5. 【日経 XTECH EXPO 2018】~その1~ 企業のデジタル化を支援するソリューションが大集合!

  6. 【情シス×ストレッチ】~第1回~肩こり対策ストレッチ「肩ラクレッチ1」

  7. 使える! 情シス三段用語辞典71「NIST SP800-171」

  8. ひとり情シスの功罪

  9. いまさら聞けない【情シス基礎知識】VPNってなに?

  10. 【レポート】PCNW『第一回クライアント管理勉強会(東京)』を開催!!

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  3. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  4. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  5. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
  6. 2018/06/27 あと1年半まで迫ったWindows 7のサポート終了。しっかりとしたPC…
ページ上部へ戻る