連載第5回では、人的安全管理措置と物理的安全管理措置について触れました。最終回の今回は、安全管理措置で残る技術的安全管理措置について触れます。また特定個人情報の取扱いに関する委託など残る課題についても解説します。そして今後のマイナンバー制度対応に当たって、企業が最も留意すべき点を示します。
9合目:技術的安全管理措置を検討しよう
技術的安全管理措置とは端的に言えば、情報システムなどITの利活用に関する安全管理措置、粗く言えば情報セキュリティです。これに関しては、次の措置が必須で求められています(図1)。
情報セキュリティに関しては、情報セキュリティマネジメントシステム(ISMS)適合性評価制度における考え方や手順などが参考になります。セキュリティに関する抜け穴を突かれないためには、全体を把握してセキュリティ対策を行うべきですが、これにはある程度体系的な取り組みが求められます。特に情報セキュリティに関するリスクアセスメントを行い、どのようなリスクがどの程度発生する見込みがあるかを見極め、それに対してどのように対処するのかを判断することが重要です。
このとき、十分なセキュリティ対策であるとともに実現可能なセキュリティ対策となっていることが必要です。中小規模事業者であってもこうした考え方に基づき、リスクへの対処を行うことは、特定個人情報を十分に守る上でも、また過剰な措置を行わないようにするためにも重要です。
a アクセス制御
情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
b アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。
c 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセスまたは不正ソフトウエアから保護する仕組みを導入し、適切に運用する。
d 情報漏えい等の防止
特定個人情報などをインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。
