技術的安全管理措置とは
事業者は、個人番号の適切な取り扱いのために技術的安全管理措置を講ずる必要性があります。
- アクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセス等の防止
- 情報漏えい等の防止
アクセス制御の手段
個人番号関係事務を情報システムを使用して行う場合、事務取扱担当者及びその事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行わなければなりません。
アクセス制限の手段として、具体的には以下のような方法が考えられます。
- 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
- 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
- ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
アクセス者の識別と認証の手段
個人番号を取り扱う情報システムは、事務取扱担当者がアクセス権を正当に有する者であるという事を識別したことに基づいて認証を行います。
具体的な方法としては、ユーザーID、パスワード、磁気・ICカード等により事務取扱担当者を識別することなどが考えられます。
不正アクセス等を防止する手段
情報システムを適切に運用するために、外部からの不正アクセスや不正ソフトウエアから保護する仕組みを導入します。
外部からの不正アクセス等を防止する手段として、具体的には以下のような方法が考えられます。
- 情報システムと外部ネットワークシステムとの接続箇所に、フアイアウォール等を設置し、不正アクセスを遮断する。
- 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
- 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
- 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
- ログ等の分析を定期的に行い、不正アクセス等を検知する。
情報漏えい等を防止する手段
特定個人情報等をインターネットなどにより外部へ送信する場合には、通信経路における情報漏えい等を未然に防ぐための措置を講じます。
情報漏えい等を防止する手段として、具体的には以下のような方法が考えられます。
- 通信経路における情報漏えい等の防止策として、通信経路の暗号化等。
- 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策として、データの暗号化またはパスワードによる保護等。
まとめ
安全管理措置の 技術的安全管理措置についてをみてきました。