技術的安全管理措置とは？

前回「これだけ読めば大丈夫。情報システム部門向け5分で理解できるマイナンバー　第2回　–安全管理措置とは-」で、安全管理措置について概要をお伝えしました。

この「安全管理措置」。企業が個人番号や特定個人情報を漏えいしたり、紛失または毀損を防止するために設定された措置をいいます。

安全管理措置の中で、情シスに大きく関連するのは「技術的安全管理措置」になり、さまざまな対応が求められています。

技術的安全管理措置として求められているもの

1）アクセス制御

2）アクセス者の識別と認証

3）外部からの不正アクセス等の防止

4）情報漏えい等の防止

1）アクセス制御

ガイドラインでは、情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために適切なアクセス制御を行う、とされています。

まず、使用しているシステムやPC等での、フォルダやファイルへのアクセス権の設定が必要とされます。
具体的には、ユーザーアカウントごとによる特定個人情報ファイルへのアクセス権の設定と、特定個人情報ファイルを利用することができるシステムに対するアクセス権の設定です。

さらにアクセス権の可視化が求められます。
たとえば、事務取扱担当者の異動や退職など、変更が生じた際にミスが無いように定期的に特定個人情報ファイルのアクセス権一覧を確認します。

よくあるケースとして、システム管理者等の特権ユーザーが、無条件に管理者権限で特定個人情報ファイルを参照できるようになっていたりしますが、利用者を限定する意味でも、特権ユーザーであっても権限は極力最小化し取り扱うようにすべきといえます。

2）アクセス者の識別と認証

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する、とされています。

つまり、特定個人情報ファイルへアクセスできる者の識別と認証設定がポイントです。

ログイン時のユーザ認証(ID／パスワード)は基本的な機能とし、さらにユーザーアカウントの使いまわしや不正利用がされないようユーザ認証を行うようにし、実際の利用者が特定できるようにします。

ユーザ認証には、ID／パスワードを設定し利用する、ICカードなど物理的な物を利用する、指紋や虹彩などの身体的特徴を利用する、などから複数利用する事により認証制度を高め、ユーザアカウントの不正利用ができないようにすると良いでしょう。

3）外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する事が求められます。

不正アクセスの方法は多岐に渡っています。外部とのやり取りが多いメールだけでも、ウイルスやマルウェアを使った標的型メール攻撃、ロールプレイング型の標的型メール攻撃、フィッシングメール等の攻撃があります。
他にも、ウイルスに感染した端末がネットワーク上で他の端末にウイルスを拡大したり、正規Webサイトを改ざんしダウンロードさせるなど、様々な手口があります。

不正アクセス防止のためには、外部からのサイバー攻撃を防ぐため、WAF(Web Application Firewall)による入口対策を行うなどします。
また内部に侵入されたとしても、特定個人情報を外部に流出させないように、内部から外部への不正なアクセスを遮断する仕組みも必要でしょう。

さらに不正なファイルの配置やファイル改ざんなどを検知できるシステムを導入することで、外部からの侵入を検知し対応します。
ハード面でも、様々な機器のログを取得し分析することで、外部からの侵入を検知し対応策を講じるようにします。

ウイルス対策については、ウイルスを仕込む側とのいたちごっこ状態ではありますが、やはりしっかり対策を講じる必要があります。
ウイルス駆除ツール以外に、エンドポイントやゲートウェイでウイルスを駆除できるようなシステム構成も求められるでしょう。

4）情報漏えい等の防止

情報漏えい等の防止では、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えいなどを防止するための措置を講ずる事とされています。

この点については、日々の業務上での取り扱いとなるため、特に社員の方々の認識と理解、ITリテラシーが重要なポイントとなります。

●日常業務でデータファイルを送る際には、必ずデータの暗号化がされている状態になっている

●電子メールに添付するデータにはパスワードがかけられている

●第三者の承認を利用し、うっかりミスや不正なファイル転送をさせない仕組みにする

●ログ管理していることを周知し内部犯行に対する抑止効果をあげる

●万が一有事が発生した際に、後追いができる仕組みになっている

●特定個人情報を取り扱うPC等に、外部からの持込みUSBメモリなどの物理デバイスを利用させない

●Wi-FiやBluetoothなどの利用許可を設ける

データ量が多かったり、支店や営業所など拠点ごとに特定個人情報取扱担当者を置かなければならない場合には、特定個人情報を社員個人のPC等にダウンロードさせないようにするため、シンクライアント等の仕組みを利用し、情報を特定のサーバだけに保管するなども一考でしょう。

技術的安全管理措置の対応は、専門性も求められコストも生じる事から、企業規模に応じて行うべきだと考えています。

またアクセス制限、アクセス者の識別と認証、外部からの不正アクセス等の防止への対策を講じたとしても、情報漏えい等の防止ができていなければ全く意味がありません。
いかにしてヒューマンエラーをしない、させないための対策が、一番肝要かもしれません。