特定個人情報の保護

INFROMATION PROTECTION

特定個人情報とは

特定個人情報とは、「個人番号(マイナンバー)」を含む個人情報を指します。
特定個人情報(マイナンバー)を取り扱うためには、特に厳しい安全管理措置が求められています。
特定個人情報における安全管理措置とは、特定個人情報とそれに関連付けて管理される住所や氏名などの特定個人情報の漏えいや消失の防止のために行う対策のことです。

特定個人情報における安全管理措置とは

特定個人情報(マイナンバー)の保護のために必要な安全管理措置の内容の検討にあたっては、個人情報保護法、その関係法令や番号法、および、特定個人情報の適正な取り扱いに関するガイドラインや個人情報保護法ガイドライン等を遵守しなければなりません。
具体的には、「基本方針の策定」「取扱規程等の策定」「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の6つの項目において安全管理措置を検討する必要があります。

基本方針の策定

基本方針の策定では、特定個人情報の適正な取り扱いについて、基本方針の策定が重要であると掲げられています。具体的に定める項目として、以下の項目などが挙げられます。

  • 該当事業者の名称
  • 関係法令やガイドライン等を適正に遵守する
  • 安全管理措置に関係する項目
  • 問合せ及び苦情処理窓口

取扱規程等の策定

取扱規定等の策定では、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならないとしています。
具体的には、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の安全管理措置を策定します。

組織的安全管理措置

組織的安全管理措置とは、特定個人情報を取り扱うにあたって組織が実施しなければならない体制の整備のことです。安全管理措置としては組織体制を整備や特定個人情報等の利用状況等の記録・点検を行う必要があります。

  • 安全管理措置を講ずるための組織体制を整備する
  • 特定個人情報の運用状況を確認するため、ログイン実績やアクセスログ等の記録
  • 取扱情報を確認するため、特定個人情報の利用・出力状況の記録
  • 情報の漏えい等事案に対応する体制の整備
  • 特定個人情報が適切な取り扱いをされていることを定期的に点検する

人的安全管理措置

人的安全管理措置としては、特定個人情報等の適切な取り扱いのため、人員体制を整える必要があります。

  • 特定個人情報等が取扱規程等に基づき適正に扱われるように事務取扱担当者に必要な監督を行う
  • 事務取扱担当者にマイナンバーの適正な取り扱いを周知・徹底する
  • 事務取扱担当者に取り扱いの留意事項についての定期的な研修・教育を行う
  • 特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込む

物理的安全管理措置

人的安全管理措置としては、特定個人情報等の適切な取り扱いのため、人員体制を整える必要があります。

  • 特定個人情報等の管理区画を明確にし、入退室管理及び管理区域へ持ち込む機器等の制限等を行う
  • 特定個人情報等を管理する情報システム機器などは、セキュリティワイヤーなどで固定する
  • 特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する
  • 特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ場合、紛失・盗難等を防ぐための安全な方策を取る

技術的安全管理措置

技術的安全管理措置としては、アクセス制御、外部からの不正アクセス等の防⽌などを行う必要があります。

  • 適切なアクセス制御を行い、特定個人情報等を取り扱う担当者を限定する
  • 外部からの不正アクセス等から保護するため、ログ等の分析を定期的に行い、不正アクセス等を検知する
  • 外部にデータを送信する際の漏えい等の防止策として、データを暗号化又は、パスワードによる保護を行う

特定個人情報等を取り扱うシステムに求められること

特定個人情報における安全管理措置では、特定個人情報(マイナンバー)等を取り扱うシステムにおいて、
具体的に以下の対策が求められています。

  • ログインやアクセスログ等の記録
  • 特定個人情報等のファイルの利用・出力状況の記録
  • 情報の漏えい等事案に対応する体制の整備
  • 適切な取り扱いをされていることを定期的に点検する
  • ログ等の分析を定期的に行い、不正アクセス等を検知する

特定個人情報(マイナンバー)等を取り扱うシステムは、ログインやアクセスログ等の大量のログを取得・蓄積するだけでなく、定期的なチェックや分析が求められている。

ログを取得するだけでなく、効率的な運用が重要になる

WEEDS Traceによるアクセスログの取得

WEEDS Traceでは、サーバーやPCだけでなくデータベースの操作ログを取得し管理することができます。
また、各種レポート機能やポリシー機能によって、利用状況の分析や調査を効率的に実施することが可能になります。

WEEDS Traceの機能紹介

統合ログ管理機能

アクセスログを保管・分析・レポーティングするのがLRM( WEEDS Log-RepositoryManager )です。LRMは、WEEDS Traceの共通機能として取得したアクセスログをため込むだけでなく、レポート機能やポリシー機能により効率的な監査を提供します。

アクセスログ取得機能

WEEDS Trace のアクセスログ取得機能はサーバーやクライアントごとに分かれています。
抜け漏れのない操作を取得できることがWEEDS Traceのアクセスログ取得機能の特徴になっています。

UNIXサーバのアクセスログ取得エージェントです。
Aliasコマンド、環境変数定義コマンドの内部で実行されているコマンドも取得可能。

Windowsサーバのアクセスログ取得エージェントです。
GUI・CUI・セーフモードの操作ログを取得することが可能。

Windowsクライアントのアクセスログ取得エージェントです。
GUI・CUI・セーフモードの操作ログを取得することが可能。

データベースのアクセスログ取得エージェントです。
各種RDBMSへ対応しており、すべてのアクセス(SQL)を取得することが可能。