マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

マイナンバー制度の安全管理義務にどう対応する?
IT資産管理ツールの答えは…

2015/12/22

 とうとう来年1月より実施となるマイナンバー制度。対応準備はお済みだろうか。事務上の体制や関連するシステムの改修などは既に着手済みのことと思うが、マイナンバー情報の漏洩防止を主眼に義務づけられた「安全管理措置」には、突き詰めれば詰めるほどコストがかさみ、社内での管理を諦めるケースも出てきそうだ。しかしIT資産管理ツールの機能を上手く活用することにより、安全かつリーズナブルな情報漏洩対策をとることが可能だ。一体どうやって?今回は特にマイナンバー制度対応を前提に、IT資産管理ツールの使い方をみてみよう。

IT資産管理

※「IT資産管理/マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「IT資産管理/マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1マイナンバー制度が義務付ける「安全管理措置」とは?

 既にご存知のこととは思うが、マイナンバーの企業による「取得・利用・保存・提供・削除/廃棄」という全プロセスにおいて「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つの安全管理措置が義務付けられている。それらはマイナンバーが万が一にも外部に漏れないようにするためと、マイナンバー取得目的(税・社会保険・災害対策のみ)以外に利用できないようにするためだ。この義務を全うするには、図1に示すように、ネットワークインフラ、業務(基幹)システム、端末・ユーザの各レイヤーで管理の徹底や脅威対策を施す必要がある。

図1 「マイナンバー」ガイドラインの安全管理措置が求めるセキュリティ対策
図1 「マイナンバー」ガイドラインの安全管理措置が求めるセキュリティ対策
上記番号は、以下内容に対応
1:組織的安全管理 2:人的安全管理 3:物理的安全管理 4:技術的安全管理
資料提供:エムオーテックス

 このようなセキュリティで守るべき情報は、マイナンバー(個人番号)そのもの、マイナンバーと氏名・住所など本人が特定できる情報のセット(特定個人情報)、それらが集約されて一覧性があるファイル(特定個人情報ファイル)の全部だ。漏洩リスクが大きいのはむろん特定個人情報ファイルである。これを事務に携わる特定の担当者以外が取り扱えないようにすることが焦点となる。
 IT資産管理ツールにはこの目的に沿って利用できる機能が豊富に備えられている。以下に、安全管理措置が求める事柄に沿って説明していく。

1-1「組織的安全管理措置」の要点とIT資産管理ツール機能

 まず組織的安全管理措置として求められるのはマイナンバー取扱担当者を明確にして、その人が適正に取扱をしているか、他の人が誤って、または意図的に取扱をしていないか、成りすまして情報にアクセスしている人がいないかなどの「マイナンバー取扱について記録や監査を実施」することだ。
 このためにはまず特定個人情報ファイルの“ありか”が分かっていなければならない。特定サーバに集中できればよいが、拠点が分散している場合などは難しいかもしれない。そんな時はIT資産管理ツールを利用して、ファイルの所在を検索・特定すればよい。問題はどれが特定個人情報ファイルなのかを判別することなのだが、ツールの中にはそれを自動判別・抽出し、そのファイルに関する操作ログを自動取得・保管する機能を追加したものがある(図2、3)。このような自動プロセスではなくとも、機密情報の所在を特定することは非常に重要な工程になる。

図2 特定個人情報ファイルの自動抽出
図2 特定個人情報ファイルの自動抽出
資料提供:ハンモック
図3 特定個人情報ファイル取扱システムへのログインログからの不正発見
図3 特定個人情報ファイル取扱システムへのログインログからの不正発見
(上)本来の「soumu」IDでのログイン以外のIDでのログインが行われている例
(下)同じユーザがIDを変えてログインしている例
資料提供:ハンモック

 特定個人情報ファイルが特定できたら、ファイルに対する操作を監視(ログ取得)し、できるだけ頻繁に監査を行うとよい。IT資産管理ツールではファイルに対する操作履歴、その操作をしたPCの操作履歴やWebアクセス履歴、メール送信履歴、プリンタ出力履歴、外部デバイスの利用履歴、アプリケーションへのログイン履歴、サーバー利用履歴、データベース利用履歴などを管理することができるので、情報を突き合わせることで不正な取扱の有無や、誰がいつ、何をしたかを明らかにすることができる。一部のツールには「操作画面の録画機能」を備えるものがあり、リストでは分かりにくい実際の行動を記録・再生することもできる。
 また、特定ファイルに着目してリネームや削除、移動、コピーなどの操作履歴を一覧することも可能だ。特定個人情報ファイルが別のファイルに改変されて送信するなど、不正な情報流出行為があればその経緯を明らかにすることができよう。

図4 ファイルへの操作をたどると流出経路が発見できる
図4 ファイルへの操作をたどると流出経路が発見できる
資料提供:Sky

 また、送信メールの監査機能、Webアクセス管理機能なども流出経路発見のための施策として有効だ。
 なお、取扱担当者やシステム管理者によるログ参照などの行動についても、他の管理権限がある人が監査できる体制も必要だ。相互チェック(監視)はとても重要だ。
 こうした機能により、総務省「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下、ガイドラインと呼ぶ)が求める「b 取扱規定等に基づく運用」「c 取扱状況を確認する手段の整備」「d 情報漏えい等事案に対応する体制の整備」「e 取扱状況の把握および安全管理措置の見直し」の各項の一部がクリアできるだろう。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

IT資産管理/マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「IT資産管理」関連情報をランダムに表示しています。

IT資産管理」関連の製品

エンドポイントセキュリティ管理ソリューション ISM CloudOne 【クオリティソフト】 EOSL後の延命保守、大型ストレージの場合の注意点と対策 【エスエーティ】 単なるレンタルではない、導入から運用管理まで楽にする「PCのサービス化」とは 【横河レンタ・リース】
IT資産管理 IT資産管理 ノートパソコン
自動で管理端末の脆弱性を検知し、マルチデバイスのセキュリティを一元管理するクラウドサービス。 意外と知らない「大型ストレージ」での延命保守の注意点とは? サーバや業務アプリなどビジネスで使うITシステムの多くをサービスとして利用している企業は多い。普段使うPCをサービス化できたらどのようなメリットがあるのだろうか。

IT資産管理」関連の特集


蔓延する違法コピーによるソフトの不正利用。もし企業のパソコンで不正入手ソフトの利用が発覚したら、会社…



スマートデバイス市場が活気づいている現在。ビジネスでの業務活用への注目も高まっています。そこで今回は…



中堅・中小企業では備えなければ取引先からの発注が止まるかもしれないと導入が急がれている「PCログ監視…


IT資産管理」関連のセミナー

データ消去ソフト ディスクシュレッダー6 製品紹介セミナー 【パーソナルメディア】  

開催日 9月28日(木),10月11日(水),10月25日(水),11月15日(水),11月29日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー6」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

売れ筋「IT資産管理ツール」比較セミナー 【サイバネットシステム】  

開催日 8月25日(金),9月29日(金),10月27日(金),11月30日(木),12月22日(金)   開催地 東京都   参加費 無料

IT資産管理ツールの導入担当者様に向けに、選定時に必ず比較対象となる売れ筋IT資産管理ツールの紹介セミナーを開催いたします。それぞれの特長や機能を比較いただきな…

データ消去ソフト USBディスクシュレッダー 製品紹介セミナー 【パーソナルメディア】  

開催日 10月11日(水),10月25日(水),11月15日(水),11月29日(水)   開催地 東京都   参加費 無料

データ消去ソフト「USBディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたし…

「運用管理」関連 製品レポート一覧

このページの先頭へ

IT資産管理/ マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「IT資産管理/ マイナンバー制度の安全管理義務にどう対応する?IT資産管理ツールの答えは…」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30008101


IT・IT製品TOP > 運用管理 > IT資産管理 > IT資産管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ