マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

マイナンバー制度の安全管理義務にどう対応する?
IT資産管理ツールの答えは…

2015/12/22

 とうとう来年1月より実施となるマイナンバー制度。対応準備はお済みだろうか。事務上の体制や関連するシステムの改修などは既に着手済みのことと思うが、マイナンバー情報の漏洩防止を主眼に義務づけられた「安全管理措置」には、突き詰めれば詰めるほどコストがかさみ、社内での管理を諦めるケースも出てきそうだ。しかしIT資産管理ツールの機能を上手く活用することにより、安全かつリーズナブルな情報漏洩対策をとることが可能だ。一体どうやって?今回は特にマイナンバー制度対応を前提に、IT資産管理ツールの使い方をみてみよう。

IT資産管理

※「IT資産管理/マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「IT資産管理/マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1マイナンバー制度が義務付ける「安全管理措置」とは?

 既にご存知のこととは思うが、マイナンバーの企業による「取得・利用・保存・提供・削除/廃棄」という全プロセスにおいて「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つの安全管理措置が義務付けられている。それらはマイナンバーが万が一にも外部に漏れないようにするためと、マイナンバー取得目的(税・社会保険・災害対策のみ)以外に利用できないようにするためだ。この義務を全うするには、図1に示すように、ネットワークインフラ、業務(基幹)システム、端末・ユーザの各レイヤーで管理の徹底や脅威対策を施す必要がある。

図1 「マイナンバー」ガイドラインの安全管理措置が求めるセキュリティ対策
図1 「マイナンバー」ガイドラインの安全管理措置が求めるセキュリティ対策
上記番号は、以下内容に対応
1:組織的安全管理 2:人的安全管理 3:物理的安全管理 4:技術的安全管理
資料提供:エムオーテックス

 このようなセキュリティで守るべき情報は、マイナンバー(個人番号)そのもの、マイナンバーと氏名・住所など本人が特定できる情報のセット(特定個人情報)、それらが集約されて一覧性があるファイル(特定個人情報ファイル)の全部だ。漏洩リスクが大きいのはむろん特定個人情報ファイルである。これを事務に携わる特定の担当者以外が取り扱えないようにすることが焦点となる。
 IT資産管理ツールにはこの目的に沿って利用できる機能が豊富に備えられている。以下に、安全管理措置が求める事柄に沿って説明していく。

1-1「組織的安全管理措置」の要点とIT資産管理ツール機能

 まず組織的安全管理措置として求められるのはマイナンバー取扱担当者を明確にして、その人が適正に取扱をしているか、他の人が誤って、または意図的に取扱をしていないか、成りすまして情報にアクセスしている人がいないかなどの「マイナンバー取扱について記録や監査を実施」することだ。
 このためにはまず特定個人情報ファイルの“ありか”が分かっていなければならない。特定サーバに集中できればよいが、拠点が分散している場合などは難しいかもしれない。そんな時はIT資産管理ツールを利用して、ファイルの所在を検索・特定すればよい。問題はどれが特定個人情報ファイルなのかを判別することなのだが、ツールの中にはそれを自動判別・抽出し、そのファイルに関する操作ログを自動取得・保管する機能を追加したものがある(図2、3)。このような自動プロセスではなくとも、機密情報の所在を特定することは非常に重要な工程になる。

図2 特定個人情報ファイルの自動抽出
図2 特定個人情報ファイルの自動抽出
資料提供:ハンモック
図3 特定個人情報ファイル取扱システムへのログインログからの不正発見
図3 特定個人情報ファイル取扱システムへのログインログからの不正発見
(上)本来の「soumu」IDでのログイン以外のIDでのログインが行われている例
(下)同じユーザがIDを変えてログインしている例
資料提供:ハンモック

 特定個人情報ファイルが特定できたら、ファイルに対する操作を監視(ログ取得)し、できるだけ頻繁に監査を行うとよい。IT資産管理ツールではファイルに対する操作履歴、その操作をしたPCの操作履歴やWebアクセス履歴、メール送信履歴、プリンタ出力履歴、外部デバイスの利用履歴、アプリケーションへのログイン履歴、サーバー利用履歴、データベース利用履歴などを管理することができるので、情報を突き合わせることで不正な取扱の有無や、誰がいつ、何をしたかを明らかにすることができる。一部のツールには「操作画面の録画機能」を備えるものがあり、リストでは分かりにくい実際の行動を記録・再生することもできる。
 また、特定ファイルに着目してリネームや削除、移動、コピーなどの操作履歴を一覧することも可能だ。特定個人情報ファイルが別のファイルに改変されて送信するなど、不正な情報流出行為があればその経緯を明らかにすることができよう。

図4 ファイルへの操作をたどると流出経路が発見できる
図4 ファイルへの操作をたどると流出経路が発見できる
資料提供:Sky

 また、送信メールの監査機能、Webアクセス管理機能なども流出経路発見のための施策として有効だ。
 なお、取扱担当者やシステム管理者によるログ参照などの行動についても、他の管理権限がある人が監査できる体制も必要だ。相互チェック(監視)はとても重要だ。
 こうした機能により、総務省「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下、ガイドラインと呼ぶ)が求める「b 取扱規定等に基づく運用」「c 取扱状況を確認する手段の整備」「d 情報漏えい等事案に対応する体制の整備」「e 取扱状況の把握および安全管理措置の見直し」の各項の一部がクリアできるだろう。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

IT資産管理/マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「IT資産管理」関連情報をランダムに表示しています。

IT資産管理」関連の製品

IT資産統合管理 コア ITAMソリューション 【ギガ+他】 ハードウェアの保守期限切れ、それでも使い続けたい企業が取るべき選択肢は? 【ブレイヴコンピュータ】 エンドポイントセキュリティ管理ソリューション ISM CloudOne 【クオリティソフト】
IT資産管理 IT資産管理 IT資産管理
導入実績1500社以上。PC端末からデータセンターまで、幅広いニーズに応えるIT資産統合管理ソリューション。物の管理と固定資産管理の紐づけを行い、資産管理を効率化する。 ハードウェアの保守期限切れ、それでも使い続けたい企業が取るべき選択肢は? 自動で管理端末の脆弱性を検知し、マルチデバイスのセキュリティを一元管理するクラウドサービス。

IT資産管理」関連の特集


企業規模を問わず、セキュリティやコンプライアンスが厳しく問われる時代の頼れるツール「統合運用管理ツー…



クライアントPCを制するものは企業の危機管理を制する。機能充実の高額ツールから安価なASPサービスま…



いつかはやって来るシステムや機器の寿命…。またそれらの保守サポート切れやリースアップの時期はバラバラ…


IT資産管理」関連のセミナー

System Support Day 2017 【ディー・オー・エス】 注目 

開催日 9月7日(木)   開催地 東京都   参加費 無料

「WannaCry」をはじめとするランサムウェアを用いた標的型攻撃や、内部不正に起因する情報漏洩など、IT環境を取り巻く脅威が社会問題となっています。これらの脅…

データ消去ソフト ディスクシュレッダー5 製品紹介セミナー 【パーソナルメディア】  

開催日 7月26日(水),8月23日(水),8月30日(水),9月13日(水),9月27日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー5」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

ハンズオンで学ぶ!PC資産管理と情報漏えい対策 【エムオーテックス】  

開催日 9月8日(金)   開催地 大阪府   参加費 無料

マイナンバー制度の開始や個人情報保護法の改正に伴い、お客様の情報セキュリティの重要性は日に日に増しています。情報漏えいのリスクは、従来からの内部からの情報漏えい…

「運用管理」関連 製品レポート一覧

このページの先頭へ

IT資産管理/ マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「IT資産管理/ マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30008101


IT・IT製品TOP > 運用管理 > IT資産管理 > IT資産管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ