情報システムを使用して個人番号利用事務等を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。

アクセス制御を行う方法としては、次に掲げるものが挙げられる。

①　個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

②　特定個人情報ファイルを取り扱う情報システム等を、アクセス制御により限定する。

③　ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

④　特定個人情報ファイルへのアクセス権を付与すべき者を最小化する。

⑤　アクセス権を有する者に付与する権限を最小化する。

⑥　情報システムの管理者権限を有するユーザーであっても、情報システムの管理上特定個人情報ファイルの内容を知らなくてもよいのであれば、特定個人情報ファイルへ直接アクセスできないようにアクセス制御をする。

⑦　特定個人情報ファイルを取り扱う情報システムに導入したアクセス制御機能の脆弱性等を検証する。

アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード、生体情報等が考えられる。

不正アクセス等の防止

情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。また、個人番号利用事務の実施に当たり接続する情報提供ネットワークシステム等の接続規程等が示す安全管理措置を遵守する。

①　情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

②　情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する。

③　導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。

④　機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。

⑤　ログ等の分析を定期的に行い、不正アクセス等を検知する。

⑥　情報システムの不正な構成変更（許可されていない電子媒体、機器の接続等、ソフトウェアのインストール等）を防止するために必要な措置を講ずることが考えられる。

情報漏えい等の防止

特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。

①　通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。

②　情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。