技術的安全管理措置
【技術的安全管理措置として講じなければならない事項】
①個人データへのアクセスにおける識別と認証
②個人データへのアクセス制御
③個人データへのアクセス権限の管理
④個人データへのアクセスの記録
⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
⑥個人データの移送・送信時の対策
⑦個人データを取り扱う情報システムの動作確認時の対策
⑧個人データを取り扱う情報システムの監視
技術的安全管理措置①
「個人データへのアクセスにおける識別と認証」の実践例
O「個人データに対する正当なアクセスを確認するために、正当なアクセス権限を持つ者であるという識別と認証を実施する」(認証には、IDとパスワード、ワンタイムパスワード、ICカード、生体認証などによる認証がある)
O「IDとパスワードを利用する場合には、パスワードの有効期限の設定や、同一パスワードの再利用制限、最低パスワード文字数の設定、一定回数以上のログインに失敗したIDの停止などを行う」
O「個人データへのアクセス権限を持つ者が使用できる端末を決めたり、MACアドレス認証、IPアドレス認証、電子証明書などの認証を実施する」
技術的安全管理措置②
「個人データへのアクセス制御」の実践例
O「個人データへのアクセス権限を最低限の人員に絞り込む」
O「パスワード設定したファイルへのアクセス制限を実施する」
O「アクセス権限を持つ者に与える権限を最小限のものにする」
O「個人データを格納した情報システムへの同時利用者数を制限する」
○「休業日や業務時間外には情報システムにアクセスできないようにするなど、個人データを格納した情報システムの利用時間を制限する」
O「ファイアウォールやルータの設定により無権限アクセスから個人データを格納した情報システムにアクセスできないように保護する」
O「業務上必要なアプリケーションだけをインストールしたり、アプリケーションに認証システムを実装したり、業務上必要な機能だけをメニュー表示したりして、個人データにアクセス可能なアプリケーションを無権限で利用できないようにする」
O「情報システムの特権ユーザーでも、情報システムの管理上で個人データの内容を知らなくてもよい場合は、個人データに直接アクセスができないようにアクセス制御する」
O「OSやウェブアプリケーションのぜい弱性の有無を検証して、アクセス制御機能が有効か検証する」
技術的安全管理措置③
「個人データへのアクセス権限の管理」の実践例
O「個人データへのアクセス権限を登録管理する者が適格か、定期的に審査する。アクセス権限については、情報システム内で管理者権限を分割して不正防止を行う」
O「個人データを取り扱う情報システムへは必要最小限にアクセスを制御する」
技術的安全管理措置④
「個人データへのアクセスの記録」の実践例
O「個人データへのアクセスや、操作の成功と失敗の記録、不正が疑われる異常な記録の有無を定期的に確認する。また、これらの記録をばかのシステムへのアクセスや操作記録と組み合わせて、各個人データへのアクセスや操作の失敗をシステム全体として記録することも検討する」
O「採取した記録は適切な管理下のハードディスクやDVDなどの外部記録媒体やログ収集用のサーバにすぐに移動して、採取した記録の漏えい、滅失やき損から保護する。また、システム管理者などの特権ユーザーのアクセス権限を用いても記録の改ざんや不正の消去ができないように対策する」
技術的安全管理措置⑤
「個人データを取り扱う情報システムについての不正ソフトウェア対策」の実践例
〇「ウイルス対策ソフトウェアの導入や、パターンファイルや修正ソフトウェアの更新確認を行い、セキュリティ対策ソフトウェアの有効陸と安定性を確認する」
O「端末やサーバなどのオペレーティングシステム、データベースマネジメントシステムなどのミドルウェア、アプリケーションなどに対するセキュリティ対策用修正ソフトウェア(セキュリティパッチ)を適用する」
O「組織で許可していないソフトウェアの導入防止対策を立てる」
技術的安全管理措置⑥
「個人データの移送(運搬、郵送、宅配便など)や送信時の対策」の実践例
O「個人データの移送時に、USBメモリなどに保管されている個人データは暗号化や秘匿化をして、紛失や盗難に備える」
O「無線LANを用いたインターネットアクセスなど、盗聴される可能性のあるネットワークを使っての個人データの入力やメール送信時に、SSLやS/MIMEを使用して個人データを暗号化したり秘匿化したりする」
技術的安全管理措置⑦
「個人データを取り扱う情報システムの動作確認時の対策」の実践例
O「情報システムの動作確認時に、テストデータとして個人データを利用することを禁止する。正確な動作確認が必要な場合でもダミーデータに置き換えて対策する」
〇「情報システムの変更時に、システム変更によって情報システムや運用環境のセキュリティが損なわれないか検証する」
技術的安全管理措置⑧
「個人データを取り扱う情報システムの監視」の実践例
〇「個人データを取り扱う情報システムの使用状況を定期的に監視する」
O「個人データへの操作内容を含むアクセス状況を監視する。特権ユーザーの個人データへのアクセス状況は特に注意して監視する」
O「IDS(不法侵入検知システム)やIPS(不正侵入防御システム)を用いて個人データを含む情報システムへの外部からのアクセス状況を監視する。監視システムの利用時は、業務で行う送受信の実態に合わせて適切に設定し、定期的にその動作を確認する」
(※ 平成27年11月時点で執筆しております。その後の法改正にご留意ください。)
新着情報・セミナー情報
-
セミナー情報 -
お知らせ -
お知らせ -
お知らせ -
セミナー情報
NEWS LETTER バックナンバー
-
2020.09.01
-
2020.08.01
-
2020.07.01
-
2020.06.01
