4つある安全管理措置の最後の1つが「技術的安全管理措置」です。
最初に言っておきますと、これを厳密に実行するには情報システムの整備が必要です。
しかも、情報システムを管理する専門の従業員、いわゆる社内SEが必要です。
大企業では情報システムが整備されているのが当たり前なので、技術的安全管理措置への対応は難しくないと思いますが、中小企業でこれに対応するのは難しいです。
そもそも、ガイドラインに規定されている内容が理解できる人材がいないのが、普通だと思います。
技術的安全管理措置とは?
ガイドラインに規定されている項目は、以下の4つです。
a.アクセス制御
b.アクセス者の識別と認証
c.外部からの不正アクセス等の防止
d.情報漏えい等の防止
なんとなく分かる気もしますが、「それでは具体的な対策は?」となると、情報システムに詳しい方でなければ、きちんと説明ができないと思います。
大雑把に説明すれば「情報にアクセスできる者を制限する」「ウィルス対策ソフトや暗号化通信などで情報流出を防ぐ」ということでしょうか…
ガイドラインの内容を確認してみます。
「アクセス制御」「アクセス者の識別と認証」
a.アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
≪手法の例示≫
*アクセス制御を行う方法としては、次に掲げるものが挙げられる。
・個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
・特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
・ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
【中小規模事業者における対応方法】
特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
b.アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
≪手法の例示≫
*事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられる。
【中小規模事業者における対応方法】
特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。
要は、アクセス認証についてのことです。
Windowsであれば「アクティブディレクトリ」で実現できます。
…と言っても分からないですよね。社内SEのいない中小企業では対応は無理だと思います。
それでは、どうしたらよいか?
とにかく簡単にやりたい場合は「マイナンバー管理クラウドサービス」を利用してください。
「クラウドサービス」とは、インターネット上のサーバを利用してデータの保管やソフトウェアの提供を受けることができるサービスです。
「マイナンバー管理クラウドサービス」については、後日、解説します。
なお、中小規模事業者であれば、以下の軽減措置があるので、必要最低限の対策で良いことになっています。
・そのパソコンを使用できる担当者も限定する。
・そのパソコン使用時には、パスワードによる認証を行う。
簡単ですね。これならすぐにできると思います。
「外部からの不正アクセス等の防止」「情報漏えい等の防止」
c.外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
≪手法の例示≫
*情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
*情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
*導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
*機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
*ログ等の分析を定期的に行い、不正アクセス等を検知する。
不正アクセスを防止するための、機器の設置やソフトウェアに関する規定です。
これも、情報システムが整備されていない企業には難しいです。しかも、軽減措置がありません。
特に定期的にログ分析をして不正アクセスのチェックが求められているので、専門家による支援が必要です。
d.情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
≪手法の例示≫
*通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。
*情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。
通信経路やファイルの暗号化とパスワード保護に関する規定です。
こちらも、専門家がいないと難しいです。
長期的にはITベンダーなどの専門家に相談を
中小規模事業者であれば、軽減措置もあるので、一時的には対応可能です。
しかし、長期的にはやはりITベンダーなどの専門家による、社内の情報システムの整備が必要になります。
もはや「情報化」という言葉が古く感じるくらい、大企業を中心にインターネットを利用した情報システムは企業経営にとって当たり前のものになっています。
ほんの10年前と今を比較してもえばわかると思いますが、私たちにとってインターネットの存在は大きなものになっています。
そして、10年後はさらに大きくなっているのは想像に難くないです。
マイナンバーとは、個人に割り当てらた12ケタの数字にすぎません。
しかし、企業にとってマイナンバーを含む企業経営に関する情報を管理する能力というのは、営業力や商品開発力とともに、重要なものになっていくはずです。
マイナンバー制度の開始をきっかけに、御社の情報化の戦略を考えてみるのも良いかもしれません。