技術的安全管理措置①「アクセス制御」
情報システムを使用して個人番号関係事務や個人番号利用事務を行う場合は、事務取扱担当者や特定個人情報ファイルを取り扱う範囲を限定するように適切なアクセス制御を行う。
事業者は、情報システムを利用して、さまざまな事務を連携させて業務を行う場合が多い。しかし、そのシステムで、個人番号関係事務とは無関係に特定個人情報を利用できれば、特定個人情報等の漏えいにつながりやすくなり、また、目的外利用にもつながることとなる。
そのため、情報システムを利用して個人番号関係事務等を行う場合には、個人番号や特定個人情報へのアクセスユーザーを厳しく制限したうえで、取り扱う特定個人情報等の範囲も制限して、適切に利用できるようする。
アクセス制御を行う方法として、次のような内容が挙げられる。
【アクセス制御の内容】
O「アクセス制御による、個人番号と紐づけられた個人情報の範囲の限定」
O「特定個人情報ファイルを取り扱う情報システムへのアクセス制御」
O「ユーザーIDに付与するアクセス権を制御し、特定個人情報ファイルを取り扱う情報システムのユーザーを事務取扱担当者に限定」
中小規模事業者では、情報システムを利用する業務は多くないが、パソコンを使って業務を行うことは多く、特定個人情報等の検索や収集が容易であると考えられる。
そのため、中小規模事業者では特定個人情報等が記録されるパソコンを特定してそのパソコンの使用者を限定したり、社内で共有してパソコンを使う場合には、パソコンに標準装備されているユーザーアカウントの制御機能を利用したりするなど、特定個人情報等を取り扱う者を限定することが望ましい。
(※ 平成27年11月時点で執筆しております。その後の法改正にご留意ください。)
- マイナンバー法が求める安全管理措置とは
- ガイドラインに定める安全管理対策の全体像
- 安全管理措置の検討手順
- 組織の基本方針
- 取扱い規程の作成ポイント
- 組織的安全管理措置への対策
- 組織的安全管理措置①「組織体制の整備」
- 組織的安全管理措置②「取扱い規程等にもとづく運用」
- 組織的安全管理措置③「取扱い状況を確認する手段の整備」
- 組織的安全管理措置④「情報漏えい等事案に対応する体制の整備」
- 組織的安全管理措置⑤「取扱い状況の把握および安全管理措置の見直し」
- 人的安全管理措置への対策
- 人的安全管理措置①「事務取扱担当者の監督」
- 人的安全管理措置②「事務取扱担当者の教育」
- 物理的安全管理措置への対策
- 物理的安全管理措置①「特定個人情報等を取り扱う区域の管理」
- 物理的安全管理措置②「機器および電子媒体等の盗難等の防止」
- 物理的安全管理措置③「電子媒体等を持ち出す場合の漏えい等の防止」
- 物理的安全管理措置④「個人番号の削除、機器および電子媒体等の廃棄」
- 技術的安全管理措置への対策
- 技術的安全管理措置①「アクセス制御」
- 技術的安全管理措置②「アクセス者の識別と認証」
- 技術的安全管理措置③「外部からの不正アクセス等の防止」
- 技術的安全管理措置④「情報漏えい等の防止」
新着情報・セミナー情報
-
セミナー情報 -
お知らせ -
お知らせ -
お知らせ -
セミナー情報
NEWS LETTER バックナンバー
-
2020.09.01
-
2020.08.01
-
2020.07.01
-
2020.06.01
