技術的安全管理措置①「アクセス制御」

情報システムを使用して個人番号関係事務や個人番号利用事務を行う場合は、事務取扱担当者や特定個人情報ファイルを取り扱う範囲を限定するように適切なアクセス制御を行う。

 事業者は、情報システムを利用して、さまざまな事務を連携させて業務を行う場合が多い。しかし、そのシステムで、個人番号関係事務とは無関係に特定個人情報を利用できれば、特定個人情報等の漏えいにつながりやすくなり、また、目的外利用にもつながることとなる。

 そのため、情報システムを利用して個人番号関係事務等を行う場合には、個人番号や特定個人情報へのアクセスユーザーを厳しく制限したうえで、取り扱う特定個人情報等の範囲も制限して、適切に利用できるようする。

アクセス制御を行う方法として、次のような内容が挙げられる。

 

【アクセス制御の内容】

O「アクセス制御による、個人番号と紐づけられた個人情報の範囲の限定」

O「特定個人情報ファイルを取り扱う情報システムへのアクセス制御」

O「ユーザーIDに付与するアクセス権を制御し、特定個人情報ファイルを取り扱う情報システムのユーザーを事務取扱担当者に限定」

 

 中小規模事業者では、情報システムを利用する業務は多くないが、パソコンを使って業務を行うことは多く、特定個人情報等の検索や収集が容易であると考えられる。

 そのため、中小規模事業者では特定個人情報等が記録されるパソコンを特定してそのパソコンの使用者を限定したり、社内で共有してパソコンを使う場合には、パソコンに標準装備されているユーザーアカウントの制御機能を利用したりするなど、特定個人情報等を取り扱う者を限定することが望ましい。

 

(※ 平成27年11月時点で執筆しております。その後の法改正にご留意ください。)

ご相談予約専用フリーダイヤル(携帯・PHSでもどうぞ)0120-066-435 無料相談受付中
  • メールでのご予約はこちら
  • ご相談の流れはこちら

新着情報・セミナー情報

NEWS LETTER バックナンバー

無料メルマガ登録