TOP>製品/サービス>課題から探す>【情報漏洩対策】マイナンバー法施行:特定個人情報を守るには

【情報漏洩対策】マイナンバー法施行:特定個人情報を守るには

マイナンバー法と事業者が求められる安全管理

2015年秋より、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下、マイナンバー法)の施行に基づき、個人にマイナンバーが配布されました。

マイナンバー法の施行により、事業者は主に、従業員の源泉徴収票や支払調書、被保険者資格取得の届出など、税や社会保障に必要な各種の法定調書を作成するにあたり、マイナンバーを収集することが必要となります。

収集したマイナンバーを含む個人情報は、特に重要な「特定個人情報」として、利用、保管、(一定期間経過後の)廃棄まで、一連のライフサイクルとして適正かつ安全に管理されなければなりません。

安全管理措置のためのガイドライン

では、特定個人情報の一連の管理ライフサイクルを、事業者が適切に実施するにはどうしたらよいでしょうか。

個人情報保護委員会では、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」において、その安全管理措置についての方法を文書で公開しています。

このガイドラインでは、事業者が行うべき管理の在り方について、下記A~Fの項目(※図 「ガイドラインの全体像」参照)で説明しており、ある程度の対策の例示やイメージができるようになっています。特に「E.物理的安全管理措置」「F.技術的安全管理措置」については、事業者がITシステムで対応しやすい領域といえ、アシストではこの2つの安全管理措置に対し、5つのソリューションを提供しています。

  図 「ガイドラインの全体像」

1.IT資産管理

管理されていない端末の社内接続制限や、許可されていないソフトウェアの利用制御、検疫機能により不正なアクセスを防止します。

2.アクセス制御

特定個人情報ファイルが格納される「管理区域」 (サーバルームなどを想定)内へのサーバへのアクセス制御と、「取扱区域」内外におけるアクセス権限を制御します。

<ポイント>

  • IDのメンテナンスは最新、最適な状態とし、特に特権IDは申請、承認ワークフローを用いて利用履歴を含めた厳密な管理を行います。
  • サーバへアクセスするPCを仮想化環境とし特権ID管理と組み合わせれば、誰がいつ何をしたかの入退出管理や監視カメラと同等の「仮想セキュリティルーム」を構築でき、物理的なセキュリティルームの設置に加えた二重の対策が実施できます。

3.サーバ保護

サーバへのアクセス制御に加え、データそのものを暗号化、マスキングし、さらにセキュリティを強固にします。

<ポイント>

  • マイナンバーはそれだけで個人特定できてしまうため、既存の個人情報とは区画を分けて管理します。
  • アクセスログ、操作ログを取得し、証跡を残します。

4.暗号化、持ち出し制御

特定個人情報を「管理区域」「取扱区域」外へ持ち出す際の対策です。持ち出しは許可された人が許可された方法で適切に行えるよう制御し、紛失や盗難に備え、データを暗号化します。

<ポイント>

  • メール、Web、印刷物、スマートデバイス、外部媒体など、あらゆる持ち出しの手段を想定し、適切な対策をします。
  • 通信手段としてセキュリティ対策が施されていないネットワーク接続を制御します。
  • 操作ログを取得し、証跡を残します。

5.ログの管理・活用

特定個人情報を取り扱うすべての領域について、データベースやファイルサーバへのアクセスログ、パソコン上での操作ログを証跡として集中管理、追跡しやすくします。これにより、情報漏洩やその予兆、外部からの不正アクセスを早期発見できるようになります。

<ポイント>

  • 取得したログを集中的に管理します。
  • 集中管理したログを分析し、見やすい形で、自動的にレポート化します。
  • 分析、レポート化は1つではなく、横断的に見方を変えて行うことで、組織内に何が起こっているのかを把握しやすくします。

アシストのマイナンバー対応ソリューション 対策イメージ


 「取扱区域」 特定個人情報を取り扱う事務を実施する区域を指します。
 「管理区域」 特定個人情報を取り扱う情報システムを管理する区域を指します。

従来の個人情報保護法では、5,000人未満の個人情報データの取り扱い事業者は対象外でしたが、マイナンバー法では全ての事業者が対象となり、罰則も厳しくなりました。

特定個人情報をどう守るかの方法はひとつではありません。対策ソフトウェアは世の中に数多く販売されており、機能も価格も異なるため、その比較選定も容易ではありません。ソフトウェア専門商社であるアシストでは、選定の目利きとして、お客様と一緒に、どのようなマイナンバー対応ソリューションが最適なのかを親身になって考え、個々にご提案しています。
>> ご参考:なぜアシストか

アシストのマイナンバー対応ソリューションと製品

対策 製品
1.IT資産管理 Hitachi IT Operations – Director
JP1/IT Desktop Management 2
2.アクセス制御 Ericom 
CA Privileged Identity Manager 
CA Shared Account Manager 
LDAP Manager 
ID棚卸キット
3.サーバ保護 Oracle Database Vault
・ D’Amo
PISO
・ Oracle Advanced Securityオプション
4.暗号化、持ち出し制御 秘文
5.ログの管理・活用 LogRevi
Logstorage

マイナンバー対応についてのご相談、お問い合わせは、お気軽に下記までご連絡ください。

マイナンバー対応についてのご相談、
お問い合わせ

資料請求/お問い合わせはこちら(専門の担当者が確認し、ご対応します。)

お客様の状況に合わせて詳しい情報をお届けできます。お気軽にご相談ください。

セキュリティに関するその他の課題

ページの先頭へ戻る