技術的安全管理措置とは?

最終更新日時:2016年(平成28年)11月27日

 技術的安全管理措置とは主に不正アクセスの防止や、事務取扱担当者以外の社員がマイナンバーを含む特定個人情報ファイルにアクセスできないようにアクセス制御をかける措置のことです。物理的安全管理措置ではマイナンバーを扱える区域を限定し、担当者以外がマイナンバーに直接触れられないように施し、技術的安全管理措置ではリモートでアクセスすることも出来ないように徹底するものになります。今回は4つの安全管理措置の最後の1つ、技術的安全管理措置についてじっくり学んでいきましょう。

技術的安全管理措置の概要

 特定個人情報におけるガイドラインには技術的安全管理措置として以下の4つを挙げています。

①アクセス制御
②アクセス者の識別と認証
③外部からの不正アクセス等の防止
④情報漏えい等の防止

 簡単にまとめてしまうと①マイナンバー関連の事務取扱担当者以外の者が特定個人情報ファイルにアクセスできないようにして②ユーザーIDやパスワードで本当に担当者かを判別できるようにして③セキュリティソフトなどで外部からの不正アクセスを防止して④外部にマイナンバー関連の情報を送信しなければならない場合も暗号化などで情報漏えいを防止するようにしなさい、ということです。

一つ一つ具体的な手法の紹介を交えつつ見ていきましょう。

担当者以外がマイナンバー関連データにアクセスできないよう制御する

 ①のアクセス制御とは、組織的安全管理措置において事務取扱担当者を定め、その取り扱う事務の範囲(扱える特定個人情報の範囲)を明確にしていることを踏まえ、それぞれの担当者が扱える範囲のデータにのみアクセス出来るようにし、それ以外の者は一切マイナンバー関連のデータにアクセス出来ないように適切な制御を施すことを指します。

具体的な手法としては

などが挙げられます。これによりマイナンバーを含む特定個人情報ファイルにアクセス出来る人とその範囲を限定することが出来ます。

マイナンバー関連事務取扱担当者かどうかの識別

 ②のアクセス者の識別と認証というのは、①のアクセス制御に似ていますが、アクセス制御が担当者以外のマイナンバー関連のデータへのアクセスを防止するのに対して、こちらは本当にアクセス権を有している者であるかを識別し認証を行うという、念には念をいれた措置になります。

具体的な手法としては

などが挙げられます。

外部からの不正アクセスを防ぐ

 ③外部からの不正アクセス等の防止というのは、読んだままの通りではありますが、外部からの不正アクセスや不正なソフトウェアによる攻撃を防ぐシステムを導入し運用していくことを意味しています。

具体的な手法として

などの手法が挙げられます。ファイアウォールの設置やセキュリティ対策ソフトの活用など近年ではごく当たり前に行われている一般的な対策で十分なものになっています。

外部にデータを送信する際の対策

 ④の情報漏えい等の防止というのは、業務上なんらかの理由で外部機関にマイナンバー関連のデータを、インターネットを介して送信しなければならない場合に通信経路からの情報漏えいを防止するための措置をとりなさい、というものになっています。

具体的な手法としては

といったことが挙げられます。

 以上が技術的安全管理措置の詳細になります。これで4つの安全管理措置の全てを一通り見てまいりましたがいかがでしたか?何かと費用がかかってしまうものが多かったですが、これまでに紹介した手法はあくまでも例に過ぎないため企業の風土や規模に合わせて対処方法をそれぞれ考案していって下さい。また次ページからは中小規模事業者に対する特例的な処置に関して学んでいきます。従業員100人以下の会社がこれに該当しますので参考までにどうぞ。