技術的安全管理措置には、他の分野よりも専門的な知識が求められます。対策はお早めに!

行政書士やまのそうま法務事務所のシンボルである八咫烏です
行政書士やまの法務事務所
行政書士やまのそうま法務事務所

お電話は

078-414-7417

お悩み(解決)よいよいな

メールでのお問い合わせは24時間受付中!

技術的安全管理措置の構築について

マイナンバーをはじめとする特定個人情報を、電子データによって管理している場合に必要になってくる安全管理措置です。
紙媒体のみで管理を行っている場合は、必要ありません。
しかし、PCでの事務処理が一般的な事業所ではほとんどの場合、この技術的安全管理措置を講じる必要があります。

番号法及びそのガイドラインでは、以下のような措置を講じなければならないと規定されています。
なお、中小規模事業者へ特例として認められた軽減措置については、このページ下部の「中小規模事業者における特例」で説明します。

アクセス制御
情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制限を行う
アクセス者の識別と認証
特定個人情報等を取扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する
外部からの不正アクセス等の禁止
情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入し、適切に運用する
情報漏えい等の防止
特定個人情報等をインタ−ネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる

アクセス制御

PCなどを使用してマイナンバー取扱事務を行う際には、適切な事務取扱担当者以外の者が特定個人情報ファイル等にアクセスができないように、アクセス制限を行う必要があります。
この場合の「適切な取扱事務担当者」とは、あらかじめ設定された目的に従って、自身に与えられた権限の範囲内で事務を取り扱う者のことをいいます。
従って、源泉徴収票の作成事務を担当する者であっても、雇用保険関係の事務での特定個人情報ファイルにはアクセスできないような制限を講じる必要があります。
また、社内イントラの管理者等システム全体の管理者であっても、マイナンバーの事務取扱担当者でない場合は、特定個人情報ファイルにアクセスすることはできません。
番号法及びガイドラインでは、以下の方法を例示しています。

アクセス者の識別と認証

特定個人情報等を扱う情報システム等においては、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づいて認証する必要があります。
要するに、事務を行うにあたって、事務取扱担当者であり、正当なアクセス権を有していることをシステム上確認する必要があるということです。
番号法及びガイドラインでは、以下の方法を例示しています。

外部からの不正アクセス等の防止

外部からのウイルス侵入を防ぐなど、情報システムの防衛策は、現代においては非常に重要です。
そこで、番号法及びそのガイドラインでは、情報システムに対する外部からの不正アクセスや不正ソフトウェアによる侵害から保護する仕組みを導入し、適切に運用する必要があると規定しています。
番号法及びそのガイドラインでは、以下の手法が例示されています。

以上のほか、メーカーのサポート期限が切れたOSを使用しないことも重要です。
できれば特定個人情報を取扱う電子機器は、ネットには接続せず孤立状態で使用することが理想と言えるでしょう。
そのような状況であっても、USBフラッシュメモリー等の外部記録媒体を介して、情報漏えいが生じることもあります。
ウィルスチェック機能付きのUSBメモリー等を使用し、しっかりと導入・チェックを行ってください。
また、人的安全管理措置にも通じますが、ネット環境に携わる従業員の教育も、外部からの不正アクセス等の防止には非常に有効です。
「一見、業務に関係のありそうなメールであっても、フリーメールアドレス(hotmailやgoogle、yahooなど、本人確認なしで簡単にアカウントを作成できるもの)から送信されてきたメールはうかつに開封しない」、「開発元が不明なソフトウェアはダウンロード及び実行しない」、「HP上のポップアップはクリックしない」、「使用履歴が不明であるUSBメモリーは、検査用ソフトが導入されているPCでチェックしてから使用する」等、基本的なことを守るだけでも、安全性は高まります。

これらのセキュリティを導入しつつ、不正アクセス等を許さない対応、不正アクセス等の有無のチェック、報告体制を整えておくことが、最も重要です。

情報漏えい等の防止

マイナンバーをはじめとする特定個人情報等をインターネットに等により外部に送信する場合は、通信経路における情報漏えい等を防止する必要があります。
これは、物理的安全管理措置でも説明した措置の、電子版に当たるという認識で構いません。
ただし一つ、決定的に異なる点があります。

物理的安全管理措置では、社内の移動においても情報漏えい等の防止措置を講じる必要がありました。
しかし、技術的安全管理措置においては、外部に送信する際の通信経路における情報漏えい等を防止する措置のみが、義務付けられているに留まります。
もちろん、万全を期するのであれば、社内システム上での保存、社内イントラでの通信を行う際にも、暗号化等の措置を講じておくことが望ましいのは、言うまでもありません。
番号法及びガイドラインでは、以下の手法を例示しています。

中小規模事業者における特例

技術的安全管理措置においても、中小規模事業者に対する軽減特例が認められています。
具体的には、以下の項目について軽減が認められています。

「アクセス制御」及び「アクセス者の識別と認証」について

上記のように、アクセス制御及びアクセス者の識別と認証については、義務的ではなく「望ましい」とされています。
ですが、特定個人情報保護委員会の回答においては、ガイドラインに従った安全管理措置を行えば、それで十分であるとは明言されておりません。
(特定個人情報保護委員会「Q&A11-1」より)

このことから、例示されている程度の措置すら行っていない状態で情報漏えい等が生じた場合に、措置が義務的でないからと行って、事業者・団体の責任が軽くなるということは考えにくいと思われます。
技術的安全管理措置に限らず、マイナンバー関連の安全管理措置は、各事業者・団体の現状に応じたものを構築していくべきです。
ガイドラインや市販の書籍、あるいは弊所のものを含めたHP等の文面だけをなぞるのではなく、しっかりと分析検討を行った上で、安全管理措置を講じていきましょう。

なお「外部からの不正アクセス等の防止」及び「情報漏えい等の防止」の項目については、軽減措置は認められておりません。