企業が行うべきマイナンバーに関するセキュリティ対策とは(2)

IT・IT製品TOP > Key Conductors > 浜 義晃(株式会社イーセクター) > 企業が行うべきマイナンバーに関するセキュリティ対策とは(2)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

企業が行うべきマイナンバーに関するセキュリティ対策とは(2)

物理セキュリティ 2015/07/13

皆さん、こんにちは。イーセクターの浜です。
「企業が行うべきマイナンバーに関するセキュリティ対策」について、全3回でまとめていきたいと思います。

第2回の今回はマイナンバー法のセキュリティ対策を話す上で、避けては通れない保護措置の一つである、安全管理措置(特に技術的安全管理措置)について話を進めていきます。

安全管理措置について

1.安全管理措置って?

そもそも安全管理措置がどこから来た話かといいますと、
前回(第1回)、話をさせていただいた通り、マイナンバー法のガイドラインには保護措置というものがあります。

保護措置は大きく3つに分かれており、それが「特定個人情報の利用制限」、「特定個人情報の安全管理措置等」、「特定個人情報の提供制限等」の3つです。
この3つはそれぞれ、マイナンバーの「取得/保管/利用/開示・訂正・利用停止/廃棄」といった利用場面で行うべき保護措置としてガイドラインに記載されています。

この中で「保管」に大きくかかわる保護措置が「特定個人情報の安全管理措置等」であり、
安全管理措置です。
この安全管理措置ですが、私がお客様と話をさせて頂く際に、特にご質問を多く頂く項目ですので、今回はこの安全管理措置(技術的安全管理措置)について掘り下げて話をさせていただきたいと思います。
※私(弊社)の守備範囲が安全管理措置で対応すべき内容となっているため、その部分についてご質問が多いのかと思いますが。

2.安全管理措置の種類

マイナンバー法のガイドラインには安全管理措置について、下記6つの項目に分けて記載されています。

マイナンバー法のガイドラインに記載されていることから、これら6つの項目を基に企業ではマイナンバーのセキュリティ対策を実施する必要があります。

・基本方針の策定
 → 特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定し、従業者に周知徹底することが重要。

・取扱規程等の策定
 → 特定個人情報等の具体的な取扱いを定める取扱規程等を策定。

・組織的安全管理措置
 → 組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し。

・人的安全管理措置
 → 事務取扱担当者の監督・教育。

・物理的安全管理措置
 →
特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち出す場合の漏えい等の防止、個人番号の削除、機器及び電子媒体等の廃止。

・技術的安全管理措置
 → アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止。

ただ、私がお客様と話をさせてい頂く際に、このまま伝えても中々伝わらないことが多いので、「安全管理措置に対応するための4つの取り組み」として、簡略化して説明させていただくことが多いです。

3.安全管理措置に対応するための4つの取り組み

安全管理措置への対応を検討する上で下記4つの取り組みが重要だと考えています。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

技術的安全管理措置では、「アクセス制御」、「アクセス者の識別と認証」、「外部からの不正アクセス等の防止」、「情報漏えい等の防止」という4つの大きな項目でまとめられています。

私はこれらに対して上記「要塞化する」と「見張る」2つの考え方から対応を検討していくべきだと話をさせていただいています。
具体的な対応方法については次回話していきたいと思います。

第1回目はマイナンバー法についての簡単な説明、
第2回目はマイナンバー法の中でもセキュリティ対策につながる、安全管理措置、特に技術的安全管理措置について話をさせていただきました。

次回(第3回)は技術的安全管理措置に対しての具体的な対策についてまとめ行きたいと思います。

また、7月15日(水)弊社主催の「マイナンバーソリューション展示会/説明会」を実施しますので、もしよろしければご参加ください。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008045


IT・IT製品TOP > Key Conductors > 浜 義晃(株式会社イーセクター) > 企業が行うべきマイナンバーに関するセキュリティ対策とは(2)

このページの先頭へ

キーマンズネットとは
2006年に現在の会社(株式会社イーセクター)に入社し、様々なセキュリティ対策パッケージソフトの営業、エンジニア、プリセールスエンジニアとして従事。現在は、マイナンバーのセキュリティ対策についての啓蒙活動を行っている。

ページトップへ