トクチョーからお届けしているメールマガジンの2015年10月1日発行 第15号です

TOKUCHO 株式会社トクチョー
ホーム > メールマガジン > 2015年10月1日発行 第15号

トクチョー メールマガジン

┏━━┓
┃\/┃━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┗━━┛    総合調査会社トクチョーのメールマガジン
<第15号>
平成27年10月1日発行
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【本日のトピック】

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

これだけは知らないと!

マイナンバー対応で必須となる4つのセキュリティ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2016年1月から始まるマイナンバー制度。

この10月からは、各自治体から住民票を持つ全国民に対してマイナンバーの通知も行われます。

前回のメルマガでお伝えした通り、マイナンバーの情報漏えいには厳しい罰則が
マイナンバー法で定められています。

罰則が設けられれただけではなく、マイナンバーが情報漏えいしないようにする
ための「安全管理措置」といわれるセキュリティ対策も義務付けられました。

もちろんこのセキュリティ対策の義務も、マイナンバー法の原則通り、全事業者に
対して適用されます。

従業員100名以下かつ個人情報取扱事業者でない等の一定の要件で認められる
「中小規模事業者」は若干義務が緩和されています。

ただし、セキュリティ対策が求められる範囲は変わらず、規模に応じた対策で
良いとされているだけであり、マイナンバー制度対応のセキュリティ対策が必須
であることに変わりありません。

今号では、政府のマイナンバー法ガイドラインに基づいて要求されるセキュリティ
対策を概観し、4つのセキュリティに関する基本知識をご紹介します。



1 マイナンバー対応で求められるセキュリティ対策

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

政府の事業者向けガイドラインでは、以下の6つのセキュリティ対策の内容が
書かれています。

 A 基本方針の策定 D 人的安全管理措置
 B 取扱規定の策定 E 物理的安全管理措置
 C 組織的安全管理措置 F 技術的安全管理措置

AとBは、マイナンバーに関する社内ルールをしっかりと作っておくという趣旨の
ものです。

C〜Fは、マイナンバーに関するセキュリティ対策を4つに分類したものです。
実はこの4つ、セキュリティの基本的な考え方の枠組みに基づいています。

以降で、組織的、人的、物理的、技術的なセキュリティ対策の要点を解説します。



2 組織的安全管理措置の要点

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

組織的安全管理措置の要点は、マイナンバーについて「だれが、なにを、どのように
行うのかを明確にして、PDCAを回す」ことです。

会社が保有するマイナンバーに関して、責任者を決めて、ルール通りの運用を行い、
その運用状況を確認して、見直していく。

特に、運用状況の確認のためにはマイナンバーを含むファイルの利用・出力状況や
アクセスログ等を記録しておく必要があります。

これらの記録はPC操作ログ監視ソフトの導入で対応することになると思われます。


3 人的安全管理措置の要点

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

人的安全管理措置の要点は、「マイナンバーを取り扱う人の監督と教育を行う」ことです。

組織的安全管理措置の取扱規定では、マイナンバーに関する事務を行う担当者と
責任者を決めます。

人的安全管理措置では、その人に注目して、担当者に対して必要かつ適切な監督を
実施し、マイナンバー取り扱いの留意点を定期的な研修等で教育することが求められ
ています。


4 物理的安全管理措置の要点

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

物理的安全管理措置の要点は、「マイナンバーを扱う場所を区切って守り、マイ
ナンバーが保存された電子媒体等は適切に保管・廃棄する」ことです。

マイナンバーを含む書類やパソコンやUSBメモリ等を盗難、紛失から守り、保存
期間経過後は速やかに廃棄します。

特に電子データの廃棄には、「専用のデータ削除ソフトウェアの利用又は物理的な
破壊等により、復元不可能な手段」で行うことが例示されています。

定期的にマイナンバーを含むファイルについて全社的に検索・監査した上で適切に
廃棄する仕組みを持つことが理想です。


5 技術的安全管理措置の要点

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

技術的安全管理措置の要点は、「特定個人情報データへのアクセス制御」です。

まずは社内。アクセス制御により、限られた社員のみがマイナンバーファイルに
アクセス出来るように設定します。

次に社外。ファイアウォールやウィルス対策ソフトを導入し、外部からの不正
アクセスを防止し、委託先等へマイナンバーを送る際もパスワードをかけて権限の
ある人だけが開けるようにします。


おわりに

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

株式会社トクチョーは、総合的なリスク対策という観点から、マイナンバー制度
対応で求められる安全管理措置の導入を多角的にサポートしています。

PC操作ログの取得・監視といった日常運用から、情報漏えい等の事件発生時に
おけるPC解析調査といった緊急対応まで、専門スタッフがお客様と一緒に課題
解決に取り組みます。

マイナンバー対策、まずはお気軽にご相談ください。


_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/


ご質問、ご相談等は弊社営業担当者または「ITリスク対策室」
(it@tokucho.co.jp)までご連絡ください。


_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/


このメールは以前に当社にお越し頂いた方、お名刺を交換させて
いただいた方へ お送りしております。不要の際はお手数ですが、
it@tokucho.co.jp まで件名に「メルマガ不要」と記載して
ご連絡ください。

戻る

PAGE TOP