【用語集】個人情報保護のための技術的安全管理措置とは何ですか? みなさま、こんにちは。暑い日が続きますがいかがお過ごしですか?今回の「分かりやすいセキュリティ用語集」は「技術的安全管理措置」です。
安全管理措置ってなに?
個人情報保護委員会が制定した個人情報の保護に関する法律についてのガイドライン(以下、ガイドライン)では、個人情報を取り扱う企業は、個人データの漏えい、滅失又は毀損の防止のためのセキュリティ対策を取る必要があると明示されており、その措置のことを「安全管理措置」と言います。
「個人情報保護のための安全管理措置」には「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つがあります。今回は最後の「技術的安全管理措置」について、解説します。
●組織的安全管理措置について知りたい方はこちら
●人的安全管理措置について知りたい方はこちら
●物理的安全管理措置について知りたい方はこちら
技術的安全管理措置とは
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(以下、ガイドライン)では、技術的安全管理措置を「個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置」と定義しています。物理的安全管理措置と異なり、目に見えにくい対策を講じているので、難解に感じる人もいるでしょう。
「技術的安全管理措置」とは、企業の業務インフラとなっている情報システムに関する安全管理措置のことです。情報管理部門などが中心となり、この安全管理措置を講じることが多いのですが、その内容を見ると実に細かく規定されています。ガイドラインでは「技術的安全管理措置を講じなければいけない事項」として、
(1)個人データへのアクセスにおける識別と認証
(2)個人データへのアクセス制御
(3)個人データへのアクセス権限の管理
(4)個人データのアクセスの記録
(5)個人データを取り扱う情報システムについての不正ソフトウェア対策
(6)個人データの移送・送信時の対策
(7)個人データを取り扱う情報システムの動作確認時の対策
(8)個人データを取り扱う情報システムの監視
という8つをあげています。ひとつひとつもう少し詳しく見ていきます。
(1)個人データへのアクセスにおける識別と認証
これは、本当にアクセスする権限がある人によるアクセスか?ということを確認するために、IDとパスワード入力による認証や、指紋認証などの生体認証などによって、アクセス権を有する本人であることの識別と認証を行うということです。
また、IPアドレス認証や電子証明書など、個人データへのアクセス権限を有する本人が使用する端末やアドレスなどの識別と認証も、個人データへのアクセスにおける識別と認証になります。
(2)個人データへのアクセス制御
同じ会社で仕事をしていても、部署や職位によってアクセスする必要がある個人データは異なります。業務を行う上で、必要最低限の個人データに、必要最低限の人だけがアクセスできるようにするというのが、個人データへのアクセス制御です。業務上必要となる従業員のPCにのみシステムをインストールする、業務上必要な機能しか表示されないようにする、システムの利用時間を制限する、というような方法があります。
また、退職者が出た場合や職位に変更があった場合など、アクセス権限に変更が生じた時は、迅速にIDの削除やパスワードの変更、アクセス権限の変更設定をすることも重要です。
(3)個人データへのアクセス権限の管理
誰でも自由に個人データへのアクセス権限を設定・変更できてしまっては、アクセス制限をしている意味がありません。アクセス権限の設定を行う従業員は誰が適切か十分に検討し、許可された従業員だけが権限設定作業を行えるようにするのが、個人データへのアクセス権限の管理です。
(4)個人データのアクセスの記録
これはそのまま、個人データへのアクセス記録や、どんな操作をしたかを記録することです。
(5)個人データを取り扱う情報システムについての不正ソフトウェア対策
不正ソフトウェア、ウィルスのことですね。対策としては、OSのセキュリティパッチをきちんと適用する、アンチウィルスソフトのインストールなどがあります。アンチウィルスソフトは、適宜更新して最新化しておくことも忘れてはいけません。
(6)個人データの移送・送信時の対策
これはUSBなどにデータを入れて持ち歩く際、万が一紛失したり盗難にあった場合でもデータを読み取られないように、パスワードを設定しておく。データをメールに添付して送信する際はパスワードを設定して、パスワードは別のメールで送るといった対策です。
(7)個人データを取り扱う情報システムの動作確認時の対策
情報システムの動作確認を行う際、実在の個人データを使用してテストを行ったら、システムの動作に問題があった場合、個人データが流出しかねません。情報システムの動作確認テストには、個人データを使用しないようにしましょう、ということです。また、情報システムに何らかの変更を加えた場合は、変更によってセキュリティが損なわれていないことの検証も必要です。
(8)個人データを取り扱う情報システムの監視
これは個人データを取り扱う情報システムの使用状況や、個人データへのアクセス状況を、定期的に監視することで、何か問題が発生した際に、原因を解明できるようにするということです。情報システムを監視した結果の記録が個人情報に該当する場合があることにも注意が必要です。
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の19年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。
Optima広報部より
広報部企画「がんばる企業様を応援!」
もしも「私もぜひインタビューされたい!紹介してほしい!」という方がいらっしゃいましたら、
広報部インスタまでお問合せくださいませ(o^∇^o)ノ
▼オプティマ・ソリューションズ広報部へのDMはこちらから
インスタグラム(フォローもよろしくね!)
https://www.instagram.com/pr_optima/
▼セミナーのご案内・申し込みはこちらから!
https://www.optima-solutions.co.jp/seminar
▼お問い合わせ
https://www.optima-solutions.co.jp/contact
▼メルマガ登録(週に一回程度、更新情報をメールでお届けします)
https://www.optima-solutions.co.jp/optima_news_entry_form
▼Youtubeチャンネル登録よろしくお願いします!
https://www.youtube.com/@optima_solutions
▼X(Twitter)(フォローもよろしくね!)
https://twitter.com/pr_optima
▼Facebook(フォローもよろしくね!)
https://www.facebook.com/optima.solutions.jp
