【番号利用法第12条・平成26年個人情報保護委員会告示第6号】10. 技術的安全管理措置【マイナンバー制度 第6章行政機関等及び地方公共団体等による特定個人情報の保護 第2節 安全管理措置】 2015/01/05
マイナンバー制度に関するご相談は、社会保険労務士松本力事務所まで
著書・執筆紹介サイト(『図解とQ& Aですっきりわかるマイナンバーのしくみ』・『入門 マイナンバーの落とし穴‐日本一わかりやすい解説』など)
法令解説ブログバックナンバーリスト(個人情報保護法・マイナンバー法・ストレスチェック制度・議員秘書規則・女性活躍推進法)
技術的安全管理措置【平成26年個人情報保護委員会告示第6号】
行政機関等及び地方公共団体等は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。
技術的安全管理措置とは、特定個人情報ファイル及び特定個人情報ファイルを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等による技術的な安全管理措置をいう。
技術的安全管理措置として講ずべき事項は、次のものが挙げられる。
① 特定個人情報ファイルへのアクセス制御
② 特定個人情報等を取り扱う情報システムへのアクセス者の識別と認証
③ 特定個人情報ファイルへのアクセス権限の管理
④ 特定個人情報等を取り扱う情報システムへのアクセスの記録
⑤ 特定個人情報等を取り扱う情報システムへの外部等からの不正アクセス・不正ソフトウェア対策
⑥ 特定個人情報等の移送・送信時の対策
⑦ 特定個人情報等を取り扱う情報システムの動作確認時の対策
⑧ 特定個人情報等を取り扱う情報システムの監視
アクセス制御
情報システムを使用して個人番号利用事務等を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。 アクセス制御を行う方法としては、次に掲げるものが挙げられる。 ① 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。 ② 特定個人情報ファイルを取り扱う情報システム等を、アクセス制御により限定する。 ③ ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。 ④ 特定個人情報ファイルへのアクセス権を付与すべき者を最小化する。 ⑤ アクセス権を有する者に付与する権限を最小化する。 ⑥ 情報システムの管理者権限を有するユーザーであっても、情報システムの管理上特定個人情報ファイルの内容を知らなくてもよいのであれば、特定個人情報ファイルへ直接アクセスできないようにアクセス制御をする。 ⑦ 特定個人情報ファイルを取り扱う情報システムに導入したアクセス制御機能の脆弱性等を検証する。
アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。 事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード、生体情報等が考えられる。
不正アクセス等の防止 情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。また、個人番号利用事務の実施に当たり接続する情報提供ネットワークシステム等の接続規程等が示す安全管理措置を遵守する。 ① 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。 ② 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。 ③ 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。 ④ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。 ⑤ ログ等の分析を定期的に行い、不正アクセス等を検知する。 ⑥ 情報システムの不正な構成変更(許可されていない電子媒体、機器の接続等、ソフトウェアのインストール等)を防止するために必要な措置を講ずることが考えられる。
情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。 ① 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。 ② 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。 |