連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

第4回:マイナンバー制度の企業対応 ~物理的安全管理措置は二重、三重に!~

セキュリティ マイナンバー 人事/労務 総務/法務/知財

第1回「マイナンバー制度の「安全管理措置」って何をすればいいの?」で、安全管理措置の4つの分野について、概略を説明しました。今回は、その中の1つ「物理的安全管理措置」について解説します。

情報セキュリティという観点でいえば、マイナンバーを含む、重要な情報の保護は二重、三重の対策が必要です。例えば、警備システムを導入しているビルが多いですが、事務所に入室する時の入室制限、業務を行う場所やサーバーを設置している場所に対する入室制限を行う、これだけで三重になります。入室制限とは、関係者以外は入室できないよう鍵やICカード、生体認証を導入することにより可能となります。さらに引き出しや書庫の施錠などを実施すると四重の対策となります。
ヒトは、忘れることもあれば、ミスをすることもあります。その場合に、二重、三重の対策を実施することにより、事件や事故は防げます。万が一、警備システムの設定を忘れても事務所や机の引き出しの施錠により、盗難は防げます。
このように物理的安全管理措置は二重、三重に実施するということを頭に置きながら、今回のコラムを読んでいただければと思います。

物理的安全管理措置 ―情報を記録する媒体や場所の管理―

まずは、"物理的"という意味を考えてみましょう。
マイナンバーは情報であり、紙に書かれていたり、データとして記録されていたりします。紙であれば、バインダーに綴られ、鍵のかかる書庫などで保管されるでしょう。データであれば、サーバーやディスクなどの記憶媒体に記録されます。「物理的」とは、情報を書く、あるいは記録する機器や媒体及びその設置場所や保管場所を指します。物理的安全管理措置とは、それらを盗難、紛失などから保護するための措置ということになります。
特定個人情報保護委員会が発表するガイドラインには、「事業者は、特定個人情報等の適正な取扱いのために、次に掲げる4つの物理的安全管理措置を講じなければならない」と書かれています。万が一、漏えい事故が発生した場合、どのような安全管理措置を実施していたかが問われます。従って、企業規模を問わず、何らかの対応は必要です。

  • 1. 執務エリアや保管場所の管理
  • 2. 盗難、紛失対策
  • 3. 情報漏漏えい防止
  • 4. 情報削除、記憶媒体の廃棄

特定個人情報等を取り扱う区域の管理 ―1.執務エリアや保管場所の管理―

マイナンバーを取り扱う業務を実施する取扱区域(以下、取扱区域)には、その業務を行わない人が無許可で立ち入ることがないような状態とすることが必要です。また、昨今ではデータをサーバーに保管し、許可された人で共有するということも当たり前になっていますから、サーバーを設置している区域(以下、管理区域)も含め、以下の措置が必要です。

<取扱区域及び管理区域に対する措置の例>

A)
取扱区域や管理区域を完全に仕切り、カードやキーなどによる認証方式を導入する。
B)
完全に仕切ることが難しい場合、なるべく人が通らない事務所の端、あるいは壁に背を向けるように机や座席の配置を工夫する。
C)
床へのマーキング、張り紙などにより、関係者以外は無許可で入室、立入できないことを明示する。

機器及び電子媒体等の盗難等の防止 ―2.盗難、紛失対策―

盗難、紛失防止という観点からいえば、取扱区域や管理区域外に持ち出さないことが最も効果的です。マイナンバーを取り扱う機器、記憶媒体、書類などの盗難や紛失防止策を講ずる必要があります。例えば、以下の措置が必要です。

<盗難防止に関する例>

A)
利用しない時は、施錠可能な書庫、引き出しなどに保管する。
B)
ノートパソコンなど、持ち運び可能なものはセキュリティワイヤーなどで固定する。

電子媒体等を持ち出す場合の漏えい等の防止 ―3.情報漏えい防止―

業務上やむを得ず、持ち出す場合には、以下のような措置が必要です。

<電子媒体等の持出しに伴う盗難、紛失防止策の例>

A)
機器、記憶媒体、書類などを取扱区域や管理区域以外に無許可で持ち出さない。
B)
持ち出しや返却は、その人の氏名、日時、時間、用途などを記録する。
C)
機器や記憶媒体はデータを暗号化する、あるいは暗号化に対応した製品を利用する。
D)
データファイルに英数記号などを組み合わせた推測しにくいパスワードを設定する。
E)
機器、記憶媒体、書類などは肌身離さず。
F)
輸送を業者に依頼する場合は、セキュリティ便やセキュリティサービスを利用する。

個人番号の削除、機器及び電子媒体等の廃棄 ―4.情報削除、記憶媒体の廃棄-

マイナンバーを含む情報を削除する、あるいはマイナンバーを取り扱った機器や記憶媒体を廃棄する場合、"復元できない方法で削除、廃棄する"ことが必要となります。さらに、それらを削除または廃棄した記録も必要です。

<削除、廃棄方法の例>

A)
DELETEコマンドやexplorerでの削除は論理的な削除であり復元可能である。本当の削除とは、フォーマットするか専用ソフトウェアで物理的に削除する。
B)
削除を実施したログや画面のコピーなどを保管する。
C)
機器や記憶媒体を廃棄する場合、事前にデータを削除し、メディアシュレッダーなどで媒体を破壊する。
D)
パソコンなどを廃棄する場合、専門に扱う業者に依頼する。その際も、できれば自分で事前にデータ削除や媒体の破壊などを行う。

最近は、パソコンの廃棄やデータ消去を専門に扱う業者も増えていますが、公的機関の認定を受けている業者を選定された方が安心です。また、機密保持契約をきちんと締結し、目の前で物理的に破壊を行うサービスを利用する/工場を視察に行くなど、出来ることは実施してください。仮に依頼した業者から情報漏洩が発生した場合、自分たちにも責任があります。そのことを念頭に業者選びはきちんとするべきです。

実際に発生した事件・事故から対策を考える

情報セキュリティに関する事件や事故、特に個人情報漏えいはなかなかなくなりません。個人情報に限らず、情報漏えい事件・事故の80%は組織内部の人が起こしており、その原因の上位は誤操作、管理ミス、紛失・盗難などです。
参照:事故・被害の実例(総務省・国民のための情報セキュリティサイト)

今回は物理的安全管理措置について、4項目を解説しました。その他の安全管理措置と併せて、効果的な措置を講ずるために、今まで発生した個人情報漏えい事件・事故の事例を参考にされては、いかがでしょうか。

【今回のポイント】
●「物理的」とは、情報を記録する機器や媒体及びその設置場所や保管場所のこと
●事業者は4つの物理的安全管理措置を講じなければならない
●重要な情報の保護のためには二重、三重に対策を打つべきである

この記事のライター
羽田 一彰(はだ かずあき)

S&A JAPAN株式会社 取締役/チーフコンサルタント
某審査機関 ISO27001、ISO9001審査員
中小企業の勤務経験を活かして、従業員100名以下の中小企業に対してマネジメントシステム導入と運用の支援を中心に活動する傍ら、2015年にマイナンバー検定2級を取得し、マイナンバー対応に関する講演も行っている。

会社Webサイト
S&A JAPAN株式会社
関連記事

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook