個人情報保護の対策 (1/4)
■技術的管理の実務知識
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。
昨今の情報漏えい事件を受け、人的管理対策と同じくらいに、この技術的管理の対策が重視されている。
具体的には、外部からのネットワーク侵入による攻撃を防いだり、内部からの不正な操作が行われないように、アクセスにおける識別と認証、アクセス権限の管理、アクセスの記録、情報システムに対する不正ソフトウェア対策、移送・通信時の対策、情報システムの動作確認、情報システムの監視などの対策を行うことである。
- @個人データへのアクセスにおける識別と認証
- A個人データへのアクセス制御
- B個人データへのアクセス権限の管理
- C個人データのアクセスの記録
- D個人データを取り扱う情報システムについての不正ソフトウェア対策
- E個人データの移送・送信時の対策
- F個人データを取り扱う情報システムの動作確認時の対策
- G個人データを取り扱う情報システムの監視(モニタリング)
@個人データへのアクセスにおける識別と認証
個人データへのアクセスについての識別と認証を徹底する以上に大切なのが、アクセス権限を付与すべき従業者数を必要最小限にとどめるべきである。また、アクセスを許可する者に変更(職責変更や退職など)があるたびに、迅速にアクセス権限やパスワードを変更する必要がある。
個人データを取り扱う情報システムのアクセス制御機能の有効性の検証も怠ってはならない。(ウェブアプリケーションのぜい弱性の有無など)
※情報システムの特権ユーザーであっても、情報システムの管理上個人データの内容を知らなくてもよいのであれば、個人データへ直接アクセスできないようにアクセス制御をすることが望ましい。
A個人データへのアクセス制御
個人データへのアクセスについての識別と認証を徹底する以上に大切なのが、アクセス権限を付与すべき従業者数を必要最小限にとどめるべきである。また、アクセスを許可する者に変更(職責変更や退職など)があるたびに、迅速にアクセス権限やパスワードを変更する必要がある。
個人データを取り扱う情報システムのアクセス制御機能の有効性の検証も怠ってはならない。(ウェブアプリケーションのぜい弱性の有無など)
※情報システムの特権ユーザーであっても、情報システムの管理上個人データの内容を知らなくてもよいのであれば、個人データへ直接アクセスできないようにアクセス制御をすることが望ましい。
- 従業者に付与するアクセス権限の最小化
- 個人データを格納した情報システムへの同時利用者数の制限
- 個人データを格納した情報システムの利用時間の制限(休業日や業務時間外等の時間帯には情報システムにアクセスできないようにする等)
- 個人データを格納した情報システムへの無権限アクセスからの保護(ファイアウォール、ルータ等の設定)
- 個人データにアクセス可能なアプリケーションの無権限利用の防止(アプリケーションシス テムに認証システムを実装する、業務上必要となる従業者が利用するコンピュータのみに必要なアプリケーションシステムをインストールする、業務上必要な機能のみメニューに表示させる等)
B個人データへのアクセス権限の管理
個人データにアクセス権限管理の適切かつ定期的な見直しを行う。
C個人データへのアクセスの記録
個人データへのアクセスや操作の成功と失敗の記録を一定期間残し、問題が発生した際に原因を突き止められるようにする。(個人データへのアクセスや操作を記録できない場合には、情報システムへのアクセスの成功と失敗の記録を取る)
その際は、採取した記録の漏えい、滅失及びき損からの適切な保護も行うこと。
※個人データを取り扱う情報システムの記録が個人情報に該当する場合があることに留意すること。