Menu

みなさま、こんにちは。有限会社マイカのライター「秋葉けんた」です。最近、家の近所に美味しい玄米のおにぎり屋さんを見つけ、なんだか嬉しくなりました。「分かりやすいセキュリティ用語集」の第13回目は「技術的安全管理措置」です。

 

※過去に掲載した分かりやすいセキュリティ用語集については、こちらをご参照ください。

【技術的安全管理措置】

技術的安全管理措置

 

個人情報保護のための安全管理措置」には「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つがあります。今回は最後の「技術的安全管理措置」について、解説します。

 

経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下、ガイドライン)では、技術的安全管理措置を「個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置」と定義しています。物理的安全管理措置と異なり、目に見えにくい対策を講じているので、難解に感じる人もいるでしょう。

 

「技術的安全管理措置」とは、企業の業務インフラとなっている情報システムに関する安全管理措置のことです。情報管理部門などが中心となり、この安全管理措置を講じることが多いのですが、その内容を見ると実に細かく規定されています。ガイドラインでは「技術的安全管理措置を講じなければいけない事項」として、

 

(1)個人データへのアクセスにおける識別と認証
(2)個人データへのアクセス制御
(3)個人データへのアクセス権限の管理
(4)個人データのアクセスの記録
(5)個人データを取り扱う情報システムについての不正ソフトウェア対策
(6)個人データの移送・送信時の対策
(7)個人データを取り扱う情報システムの動作確認時の対策
(8)個人データを取り扱う情報システムの監視

 

という8つをあげています。ひとつひとつもう少し詳しく見ていきます。

 

(1)個人データへのアクセスにおける識別と認証

 

これは、本当にアクセスする権限がある人によるアクセスか?ということを確認するために、IDとパスワード入力による認証や、指紋認証などの生体認証などによって、アクセス権を有する本人であることの識別と認証を行うということです。

 

また、IPアドレス認証や電子証明書など、個人データへのアクセス権限を有する本人が使用する端末やアドレスなどの識別と認証も、個人データへのアクセスにおける識別と認証になります。

 

(2)個人データへのアクセス制御

 

同じ会社で仕事をしていても、部署や職位によってアクセスする必要がある個人データは異なります。業務を行う上で、必要最低限の個人データに、必要最低限の人だけがアクセスできるようにするというのが、個人データへのアクセス制御です。業務上必要となる従業員のPCにのみシステムをインストールする、業務上必要な機能しか表示されないようにする、システムの利用時間を制限する、というような方法があります。

 

また、退職者が出た場合や職位に変更があった場合など、アクセス権限に変更が生じた時は、迅速にIDの削除やパスワードの変更、アクセス権限の変更設定をすることも重要です。

 

(3)個人データへのアクセス権限の管理

 

誰でも自由に個人データへのアクセス権限を設定・変更できてしまっては、アクセス制限をしている意味がありません。アクセス権限の設定を行う従業員は誰が適切か十分に検討し、許可された従業員だけが権限設定作業を行えるようにするのが、個人データへのアクセス権限の管理です。

 

(4)個人データのアクセスの記録

 

これはそのまま、個人データへのアクセス記録や、どんな操作をしたかを記録することです。

 

(5)個人データを取り扱う情報システムについての不正ソフトウェア対策

 

不正ソフトウェア、ウィルスのことですね。対策としては、OSのセキュリティパッチをきちんと適用する、アンチウィルスソフトのインストールなどがあります。アンチウィルスソフトは、適宜更新して最新化しておくことも忘れてはいけません。

 

(6)個人データの移送・送信時の対策

 

これはUSBなどにデータを入れて持ち歩く際、万が一紛失したり盗難にあった場合でもデータを読み取られないように、パスワードを設定しておく。データをメールに添付して送信する際はパスワードを設定して、パスワードは別のメールで送るといった対策です。

 

(7)個人データを取り扱う情報システムの動作確認時の対策

 

情報システムの動作確認を行う際、実在の個人データを使用してテストを行ったら、システムの動作に問題があった場合、個人データが流出しかねません。情報システムの動作確認テストには、個人データを使用しないようにしましょう、ということです。また、情報システムに何らかの変更を加えた場合は、変更によってセキュリティが損なわれていないことの検証も必要です。

 

(8)個人データを取り扱う情報システムの監視

 

これは個人データを取り扱う情報システムの使用状況や、個人データへのアクセス状況を、定期的に監視することで、何か問題が発生した際に、原因を解明できるようにするということです。情報システムを監視した結果の記録が個人情報に該当する場合があることにも注意が必要です。

 

ITの専門知識が必要となる部分も多く、難しく感じてしまうかもしれませんが、情報システムの
担当者や、場合によっては外部の力も借りながら、しっかり対策を取っていきましょう。

 


著:秋葉けんた(編集プロダクション「マイカ」に所属するIT専門のライター。オプティマ・ソリューションズのコンサルティングを受けて、自社内の個人情報保護体制を構築し、維持運用している。その中で「セキュリティの専門用語」を理解するのに困難を感じ、同じ課題を持つ方々への情報共有をしたいと考えて、この分かりやすい用語集を執筆している)
監修:中康二(オプティマ・ソリューションズ株式会社)

 

※イラストは「いらすとや」さんから頂きました。