これだけ読めば大丈夫。【情シス必見】5分でわかるマイナンバー 第3回 -技術的安全管理措置の具体的対応-

2015/11/19
マイナンバーイラスト画像

いよいよ来年1月に向けてマイナンバーの通知カードの送付も進んできました……と言いたいところですが、まだまだ順調に送付がされているとはいえないようです。

とはいえ、「通知カードの送付も遅れがちだから準備もまだしなくていいよね」とはいきません。企業側も本腰入れて、来年からの対応に向けて準備をしなければいけませんね。

今回は、安全管理措置の中から、技術的安全管理措置の対応について確認をしていきましょう。

 

技術的安全管理措置とは?

前回「これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー 第2回 –安全管理措置とは-」で、安全管理措置について概要をお伝えしました。

この「安全管理措置」。企業が個人番号や特定個人情報を漏えいしたり、紛失または毀損を防止するために設定された措置をいいます。

安全管理措置の中で、情シスに大きく関連するのは「技術的安全管理措置」になり、さまざまな対応が求められています。


技術的安全管理措置として求められているもの

1)アクセス制御

2)アクセス者の識別と認証

3)外部からの不正アクセス等の防止

4)情報漏えい等の防止


1)アクセス制御

ガイドラインでは、情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う、とされています。

まず、使用しているシステムやPC等での、フォルダやファイルへのアクセス権の設定が必要とされます。
具体的には、ユーザーアカウントごとによる特定個人情報ファイルへのアクセス権の設定と、特定個人情報ファイルを利用することができるシステムに対するアクセス権の設定です。

さらにアクセス権の可視化が求められます。
たとえば、事務取扱担当者の異動や退職など、変更が生じた際にミスが無いように定期的に特定個人情報ファイルのアクセス権一覧を確認します。

よくあるケースとして、システム管理者等の特権ユーザーが、無条件に管理者権限で特定個人情報ファイルを参照できるようになっていたりしますが、利用者を限定する意味でも、特権ユーザーであっても権限は極力最小化し取り扱うようにすべきといえます。

2)アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する、とされています。

つまり、特定個人情報ファイルへアクセスできる者の識別と認証設定がポイントです。

ログイン時のユーザ認証(ID/パスワード)は基本的な機能とし、さらにユーザーアカウントの使いまわしや不正利用がされないようユーザ認証を行うようにし、実際の利用者が特定できるようにします。

ユーザ認証には、ID/パスワードを設定し利用する、ICカードなど物理的な物を利用する、指紋や虹彩などの身体的特徴を利用する、などから複数利用する事により認証制度を高め、ユーザアカウントの不正利用ができないようにすると良いでしょう。

3)外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する事が求められます。

不正アクセスの方法は多岐に渡っています。外部とのやり取りが多いメールだけでも、ウイルスやマルウェアを使った標的型メール攻撃、ロールプレイング型の標的型メール攻撃、フィッシングメール等の攻撃があります。
他にも、ウイルスに感染した端末がネットワーク上で他の端末にウイルスを拡大したり、正規Webサイトを改ざんしダウンロードさせるなど、様々な手口があります。

不正アクセス防止のためには、外部からのサイバー攻撃を防ぐため、WAF(Web Application Firewall)による入口対策を行うなどします。
また内部に侵入されたとしても、特定個人情報を外部に流出させないように、内部から外部への不正なアクセスを遮断する仕組みも必要でしょう。

さらに不正なファイルの配置やファイル改ざんなどを検知できるシステムを導入することで、外部からの侵入を検知し対応します。
ハード面でも、様々な機器のログを取得し分析することで、外部からの侵入を検知し対応策を講じるようにします。

ウイルス対策については、ウイルスを仕込む側とのいたちごっこ状態ではありますが、やはりしっかり対策を講じる必要があります。
ウイルス駆除ツール以外に、エンドポイントやゲートウェイでウイルスを駆除できるようなシステム構成も求められるでしょう。

4)情報漏えい等の防止

情報漏えい等の防止では、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えいなどを防止するための措置を講ずる事とされています。

この点については、日々の業務上での取り扱いとなるため、特に社員の方々の認識と理解、ITリテラシーが重要なポイントとなります。

●日常業務でデータファイルを送る際には、必ずデータの暗号化がされている状態になっている

●電子メールに添付するデータにはパスワードがかけられている

●第三者の承認を利用し、うっかりミスや不正なファイル転送をさせない仕組みにする

●ログ管理していることを周知し内部犯行に対する抑止効果をあげる

●万が一有事が発生した際に、後追いができる仕組みになっている

●特定個人情報を取り扱うPC等に、外部からの持込みUSBメモリなどの物理デバイスを利用させない

●Wi-FiやBluetoothなどの利用許可を設ける

データ量が多かったり、支店や営業所など拠点ごとに特定個人情報取扱担当者を置かなければならない場合には、特定個人情報を社員個人のPC等にダウンロードさせないようにするため、シンクライアント等の仕組みを利用し、情報を特定のサーバだけに保管するなども一考でしょう。

技術的安全管理措置の対応は、専門性も求められコストも生じる事から、企業規模に応じて行うべきだと考えています。

またアクセス制限、アクセス者の識別と認証、外部からの不正アクセス等の防止への対策を講じたとしても、情報漏えい等の防止ができていなければ全く意味がありません。
いかにしてヒューマンエラーをしない、させないための対策が、一番肝要かもしれません。

成澤 紀美
社会保険労務士法人スマイング代表社員。
IT業界に精通した社会保険労務士として、人事労務管理の支援を中心に活動。企業の視点に立った労務管理セミナーや研修を行っている。
2014年3月に「IT業界 人事労務の教科書」を出版。他に「企業実務」(日本実業出版社)、「労務事情」(産労総合研究所)、「@IT自分戦略研究所」(アイティメディア)のコラムなど執筆も多数。

 

所属:社会保険労務士法人スマイング

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  1. 情シスとデジタルトランスフォーメーション(DX)の関係【前編】

  2. イベント:上越TechMeetup #5 〜失敗LT大会〜

  3. 【情シスサミット2019】情シス業務を変えるヒントがそこに

  4. いまさら聞けない「情シス基礎知識」DevOps~アジャイルとの関係~

  5. 4コマ:腐女子な情シスさん Vol.1「動詞な上司」

  6. 【脱!SIerへの丸投げ】IT投資効率を悪化させるSI業界 vol.1~なぜ丸投げが問題なのか~

  7. 松田軽太の「一人情シスのすゝめ」Vol.2:「脱Excel」に役立つWEBデータベースたち(後編)

  8. 松田軽太の「一人情シスのすゝめ」Vol.2:「脱Excel」に役立つWEBデータベースたち(前編)

  9. 【情シス解体新書:Vol.2】情報システムを取り巻く環境

  10. いまさら聞けない【情シス基礎知識】プライバシー保護の基礎、OECD8原則とは

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 個人情報の取り扱いには要注意。国内では個人情報保護法、欧州ではGDPRと個人情報を取り巻く情勢は大き…
  2. あなたの会社のホームページ(HP)はGDPRの対応がお済ですか? なんとなく気になっていてもアクショ…
  3. Windows 7サポート終了でWindows 10に切り替わるこの時期、アプリケーションや端末利用…
  4. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  5. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
ページ上部へ戻る