第1回「マイナンバー制度の「安全管理措置」って何をすればいいの?」で、安全管理措置の4つの分野について、概略を説明しました。今回は、その中の1つ「物理的安全管理措置」について解説します。
情報セキュリティという観点でいえば、マイナンバーを含む、重要な情報の保護は二重、三重の対策が必要です。例えば、警備システムを導入しているビルが多いですが、事務所に入室する時の入室制限、業務を行う場所やサーバーを設置している場所に対する入室制限を行う、これだけで三重になります。入室制限とは、関係者以外は入室できないよう鍵やICカード、生体認証を導入することにより可能となります。さらに引き出しや書庫の施錠などを実施すると四重の対策となります。
ヒトは、忘れることもあれば、ミスをすることもあります。その場合に、二重、三重の対策を実施することにより、事件や事故は防げます。万が一、警備システムの設定を忘れても事務所や机の引き出しの施錠により、盗難は防げます。
このように物理的安全管理措置は二重、三重に実施するということを頭に置きながら、今回のコラムを読んでいただければと思います。
まずは、"物理的"という意味を考えてみましょう。
マイナンバーは情報であり、紙に書かれていたり、データとして記録されていたりします。紙であれば、バインダーに綴られ、鍵のかかる書庫などで保管されるでしょう。データであれば、サーバーやディスクなどの記憶媒体に記録されます。「物理的」とは、情報を書く、あるいは記録する機器や媒体及びその設置場所や保管場所を指します。物理的安全管理措置とは、それらを盗難、紛失などから保護するための措置ということになります。
特定個人情報保護委員会が発表するガイドラインには、「事業者は、特定個人情報等の適正な取扱いのために、次に掲げる4つの物理的安全管理措置を講じなければならない」と書かれています。万が一、漏えい事故が発生した場合、どのような安全管理措置を実施していたかが問われます。従って、企業規模を問わず、何らかの対応は必要です。
マイナンバーを取り扱う業務を実施する取扱区域(以下、取扱区域)には、その業務を行わない人が無許可で立ち入ることがないような状態とすることが必要です。また、昨今ではデータをサーバーに保管し、許可された人で共有するということも当たり前になっていますから、サーバーを設置している区域(以下、管理区域)も含め、以下の措置が必要です。
<取扱区域及び管理区域に対する措置の例>
盗難、紛失防止という観点からいえば、取扱区域や管理区域外に持ち出さないことが最も効果的です。マイナンバーを取り扱う機器、記憶媒体、書類などの盗難や紛失防止策を講ずる必要があります。例えば、以下の措置が必要です。
<盗難防止に関する例>
業務上やむを得ず、持ち出す場合には、以下のような措置が必要です。
<電子媒体等の持出しに伴う盗難、紛失防止策の例>
マイナンバーを含む情報を削除する、あるいはマイナンバーを取り扱った機器や記憶媒体を廃棄する場合、"復元できない方法で削除、廃棄する"ことが必要となります。さらに、それらを削除または廃棄した記録も必要です。
<削除、廃棄方法の例>
最近は、パソコンの廃棄やデータ消去を専門に扱う業者も増えていますが、公的機関の認定を受けている業者を選定された方が安心です。また、機密保持契約をきちんと締結し、目の前で物理的に破壊を行うサービスを利用する/工場を視察に行くなど、出来ることは実施してください。仮に依頼した業者から情報漏洩が発生した場合、自分たちにも責任があります。そのことを念頭に業者選びはきちんとするべきです。
情報セキュリティに関する事件や事故、特に個人情報漏えいはなかなかなくなりません。個人情報に限らず、情報漏えい事件・事故の80%は組織内部の人が起こしており、その原因の上位は誤操作、管理ミス、紛失・盗難などです。
参照:事故・被害の実例(総務省・国民のための情報セキュリティサイト)
今回は物理的安全管理措置について、4項目を解説しました。その他の安全管理措置と併せて、効果的な措置を講ずるために、今まで発生した個人情報漏えい事件・事故の事例を参考にされては、いかがでしょうか。
【今回のポイント】
●「物理的」とは、情報を記録する機器や媒体及びその設置場所や保管場所のこと
●事業者は4つの物理的安全管理措置を講じなければならない
●重要な情報の保護のためには二重、三重に対策を打つべきである
S&A JAPAN株式会社 取締役/チーフコンサルタント
某審査機関 ISO27001、ISO9001審査員
中小企業の勤務経験を活かして、従業員100名以下の中小企業に対してマネジメントシステム導入と運用の支援を中心に活動する傍ら、2015年にマイナンバー検定2級を取得し、マイナンバー対応に関する講演も行っている。