マイナンバーセキュリティ
マイナンバー対策に必要な技術的安全管理措置(a~d※) に対応
- ●マイナンバーにアクセスできる利用者を限定したい
- ●マイナンバーの不正な持ち出しを防止したい
- ●外部からのサイバー攻撃からマイナンバーを守りたい
マイナンバー制度に対応したセキュリティ対策のポイント
ガイドラインに基づいたセキュリティ対策を実施
目 的 | 必要な技術的対策 | 対 象 | 対 策 |
---|---|---|---|
アクセス制御(a) | 情報システムを使用して個人番号関係事務または個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。 | サーバ(管理区域) | ID管理・認証強化、 監視・監査 |
アクセス者の 識別と認証(b) |
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。 | サーバ(管理区域)、 PC端末(取扱区域) |
ID管理・認証強化、 監視・監査 |
不正アクセス等に よる被害の 防止等(c) |
情報システムを外部からの不正アクセスまたは不正ソフトウエアから保護する仕組み、ログ管理による不正アクセスの検知する仕組みを導入し、適切に運用する。 | ネットワーク (管理区域との境界)、 PC端末(取扱区域) |
暗号化、侵入防御、 監視・監査 |
情報漏えい等の 防止(d) |
特定個人情報などをインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる。 | 端末(取扱区域) | 持ち出し制御、 暗号化、監視・監査 |
管理区域:マイナンバーを取扱う情報システムを管理する区域
取扱区域:マイナンバーを取扱う事務を実施する区域
※ 特定個人情報保護委員会公表の「特定個人情報の適性な取り扱いに関するガイドライン(事業者編)
(別添)特定個人情報に関する安全管理措置(事業者編)技術的安全管理措置 より
-
ID管理・認証強化
IDの一元管理による不要なIDの禁止、業務システム利用時の本人認証強化によるなりすまし防止、管理区域への入退室管理
-
持ち出し制御
外部デバイス、メール、Web、無許可のネットワーク接続の制御によるマイナンバー情報の持ち出し制御
-
暗号化
ドライブ、外部メディア、ファイル暗号化によるマイナンバー情報の利用制限、情報漏洩防止
-
侵入防御
社内ネットワークへのマルウェア侵入、不審な通信の防御により第三者によるマイナンバー情報の窃取を防御
-
監視・監査
マイナンバーが保管されているPC/サーバ/DBの操作をログ取得、監視・監査
アクセス制御
ユーザIDに付与されたアクセス権に基づいてアクセス範囲を限定
- マイナンバー業務担当者のみアクセスを許可
- マイナンバー情報の保管時に暗号化
- マイナンバー情報を暗号化したまま業務アプリケーションが検索・利用可能
アクセス者の識別と認証
サーバ、端末、システムログイン時の本人認証を強化
- 生体情報やワンタイムパスワード、乱数表などによる本人認証強化(なりすまし防止)
不正アクセス等による被害の防止等
社外への提供時の情報漏洩対策、盗難・紛失対策
- 特定個人情報ファイルの暗号化(機器・電子媒体保存時)
- 端末や外部媒体のデータを暗号化することで盗難・紛失時に情報が漏洩するリスクを低減