社会保障・税番号(マイナンバー)制度導入にあたり、
企業は何をすべきでしょうか?
マイナンバーをセキュアに管理・保護する対策をご紹介します。
「安全管理措置」とセキュリティー対策
マイナンバー制度開始に伴い、
全ての企業が従業員などのマイナンバーを管理することになります。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、企業が講じるべき組織的・物理的・技術的措置を定めており、情報セキュリティーの対策が必須です。
「安全管理措置」 - 技術的措置
※「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より
a. アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行 う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイル の範囲を限定するために、適切なアクセス制御を行う。
b. アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当な アクセス権を有する者であることを、識別した結果に基づき認証する。
c. 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保 護する仕組みを導入し、適切に運用する。
d. 情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信 経路における情報漏えい等を防止するための措置を講ずる。
セキュリティ対策のポイント
そのデータに誰が、いつ、どういう経路でアクセスしたかを確実に記録し、適切に管理することが重要です。
マイナンバーが保管されるデータベースへのアクセスを制御・管理することが、セキュリティー対策のキーポイントになります。
1.アクセス制御
データベースやシステムへの不正侵入を防御するためのアクセス制御が情報漏えいを防ぎます。
-
ファイアウォール
-
VPN
-
不正侵入検知/防御システム
-
MACアドレス認証
-
Webアクセスマネージメントシステム
2.ログ管理とアクセス監視
不正な操作をリアルタイムに検出し、情報漏えい防止・早期発見が事故を防ぎます。
-
アクセスログの記録
-
事前に定義された不正な操作に対するリアルタイムな通知
-
アクセスログをリアルタイムに可視化できる集計・レポート
3.特権ID管理
マイナンバーを守るには、特権ユーザーの ID 管理が不可欠です。
- 特権を持つIDの共有アクセスを管理
- 特権アクセスの申請と承認
- 特権ID利用状況トラッキング
「各事業者で守るべき事項をまとめたガイドライン(特定個人情報保護委員会)」には、中小規模事業者に対する配慮として、特例的に軽い対応でよいと記載されています。