マイナンバーに関する事業者の技術的安全管理措置

安全管理措置ガイドラインの内容

　個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」（特定個人情報ガイドライン）の中の「（別添）特定個人情報に関する安全管理措置（事業者編）」（安全管理措置ガイドライン）は、「事業者は、安全管理措置の検討に当たり、番号法及び個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守しなければならない。」として、技術的安全管理措置についても定めています。

　ガイドラインの内容は、①アクセス制御、②アクセス者の識別と認証、③外部からの不正アクセス等の防止、④情報漏えい等の防止の4点からなり、それぞれの手法の例示と中小規模事業者における対応方法が記載されています。

　以下は、安全管理措置ガイドラインの内容を中心に解説します。
　なお、安全管理措置ガイドラインで求められる内容の全体については、「マイナンバー制度に対応した社内体制を構築するためのチェックポイント」を参照ください。

アクセス制御

　情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取扱担当者および当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うことが求められます。
　アクセス制御を行う方法としては、次に掲げるものが挙げられます。

　個人番号の物理的安全管理措置・技術的安全管理措置の観点から、独立のデータベースを構築する必要は必ずしもありません。ただし、個人番号を同一筐体内、かつ、同一データベース内で管理することはできますが、個人番号関係事務と関係のない事務で利用することのないように、アクセス制御等を行う必要があります。

　なお、中小規模事業者については、以下の対応方法を講ずることとされています。

アクセス者の識別と認証

　特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する必要があります。事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられます。
　中小規模事業者については、上記 1 の対応方法によります。

外部からの不正アクセス等の防止

　情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入し、適切に運用することが求められます。
　具体的な方策としては以下の方法が考えられます。

情報漏えい等の防止

　特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずることが求められます。
　具体的には、通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられます。また、情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化またはパスワードによる保護等が考えられます。

　「情報漏えい等の防止」についても、中小規模事業者の特例はありません。中小規模事業者であっても、一般事業者と同様に、事業者において採ることができる適切な手法により、安全管理措置を講ずる必要があります。例に示した手法の採用が難しい場合には、その他の手段による合理的な代替手段を検討する必要があります。