情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。アクセス制御を行う方法としては、次に掲げるものが挙げられる。

①　個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

②　特定個人情報ファイルを取り扱う情報システム等を、アクセス制御により限定する。

③　ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

また、特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられる。

アクセス制御及びアクセス者の識別と認証（中小規模事業者の場合）

①　特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。

②　機器に標準装備されているユーザー制御機能（ユーザーアカウント制御）により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

不正アクセス等の防止

情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。

①　情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

②　情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する。

③　導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。

④　機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。

⑤　ログ等の分析を定期的に行い、不正アクセス等を検知する。

情報漏えい等の防止

特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。

①　通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。

②　情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。