マイナンバーに関する事業者の技術的安全管理措置

IT・情報セキュリティ

 マイナンバーの取扱いにあたって、事業者は技術的安全管理措置を講じなければならないと聞きましたが、どのような措置を講じればよいか教えてください。

 特定個人情報の適正な取扱いに関するガイドライン(事業者編)の(別添)特定個人情報に関する安全管理措置(事業者編)(以下、「安全管理措置ガイドライン」といいます)において、①アクセス制御、②アクセス者の識別と認証、③外部からの不正アクセス等の防止、④情報漏えい等の防止の4点があげられています。

解説

目次

  1. 安全管理措置ガイドラインの内容
  2. アクセス制御
  3. アクセス者の識別と認証
  4. 外部からの不正アクセス等の防止
  5. 情報漏えい等の防止

安全管理措置ガイドラインの内容

 個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報ガイドライン)の中の「(別添)特定個人情報に関する安全管理措置(事業者編)」(安全管理措置ガイドライン)は、「事業者は、安全管理措置の検討に当たり、番号法及び個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守しなければならない。」として、技術的安全管理措置についても定めています。

 ガイドラインの内容は、①アクセス制御、②アクセス者の識別と認証、③外部からの不正アクセス等の防止、④情報漏えい等の防止の4点からなり、それぞれの手法の例示と中小規模事業者における対応方法が記載されています。

 以下は、安全管理措置ガイドラインの内容を中心に解説します。
 なお、安全管理措置ガイドラインで求められる内容の全体については、「マイナンバー制度に対応した社内体制を構築するためのチェックポイント」を参照ください。

アクセス制御

 情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取扱担当者および当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うことが求められます。
 アクセス制御を行う方法としては、次に掲げるものが挙げられます。

  • 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
  • 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
  • ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

 個人番号の物理的安全管理措置・技術的安全管理措置の観点から、独立のデータベースを構築する必要は必ずしもありません。ただし、個人番号を同一筐体内、かつ、同一データベース内で管理することはできますが、個人番号関係事務と関係のない事務で利用することのないように、アクセス制御等を行う必要があります。

 なお、中小規模事業者については、以下の対応方法を講ずることとされています。

  • 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
  • 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

アクセス者の識別と認証

 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する必要があります。事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられます。
 中小規模事業者については、上記 1 の対応方法によります。

外部からの不正アクセス等の防止

 情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入し、適切に運用することが求められます。
 具体的な方策としては以下の方法が考えられます。

  • 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
  • 情報システムおよび機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
  • 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
  • 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
  • * ログ等の分析を定期的に行い、不正アクセス等を検知する。

情報漏えい等の防止

 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずることが求められます。
 具体的には、通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられます。また、情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化またはパスワードによる保護等が考えられます。

 「情報漏えい等の防止」についても、中小規模事業者の特例はありません。中小規模事業者であっても、一般事業者と同様に、事業者において採ることができる適切な手法により、安全管理措置を講ずる必要があります。例に示した手法の採用が難しい場合には、その他の手段による合理的な代替手段を検討する必要があります。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する