資料請求リストに製品が追加されていません。
マイナンバー対策で求められる安全管理措置、そしてログ管理システムでできるセキュリティ対策について解説します。マイナンバーを狙っている犯罪集団が多く、個人番号の配布早々に事件が発生しており、今後はクレジット番号や銀行口座などを紐付けることが予想され、厳重な管理が求められています。必要な対策を理解して、しっかりと手を打っていきましょう。
2016年1月に施行されたマイナンバー制度。マイナンバーを管理する義務が企業に求められています。マイナンバー管理の重要性について見てきましょう。
2016年1月に施行されたマイナンバー制度。住民票を有する全ての国民に割り当てられた12桁の番号のことです。社会保障や税、災害対策などの行政手続きにマイナンバーが必要になります。
政府はマイナンバーの施行に当たって、神経質なほどの詳細な管理措置を企業に求めており、経理・総務・人事・情報システム部門では、情報セキュリティ対策を含めた運用体制づくりが急務となっています。
たとえば企業は、マイナンバーの取扱規程等を策定しなければなりません。マイナンバーの取得、本人確認、転記、目的外利用の排除、廃棄、削除までをフロー化しなければなりません。誤って社員が「通勤手当」の申請などにマイナンバーを記入してしまった場合は、その返却の手順までマニュアル化しなければならないのです。
マイナンバーは、従業員の健康保険や厚生年金の加入手続きを行ったり、給料から源泉徴収して税金を収めたりするときに必要になります。
なぜマイナンバーを厳重に管理する必要があるのでしょうか。
マイナンバーを含む個人情報は、重要度が高い「特定個人情報」とされています。なぜなら、他の個人情報と比べて、扱う情報の範囲や不正に扱われたときのリスクが高いためです。
万が一マイナンバーを漏洩させたり不正利用したりした場合には、重い罰則が適用されます。そのため、企業では、従業員のマイナンバーを安全に管理し、情報漏えい対策をしていく必要があります
厳重なセキュリティ対策を行って管理することが求められるマイナンバー。そこで、個人情報保護委員会で『特定個人情報の適正な取扱いに関するガイドライン』を定めています。その中から、企業が行う必要がある「特定個人情報に関する安全管理措置」について見ていきましょう。
マイナンバー管理で行う安全管理措置を簡単にご紹介します。
組織的安全管理措置は、組織の中でマイナンバーをどう管理するのか、その組織体制や運用体制の整備などを指しています。中には、情報漏えいなどのインシデントに対応する体制づくりも含まれています。
人的安全管理措置は、担当者に対して定期的な研修を行って、機密保持誓約を取ることです。マイナンバーを利用目的以外で使用せず、教育訓練を受講することなどが含まれています。
技術的安全管理措置は、技術的に見たときに必要な対策を示しています。詳しくはこのあと説明します。
物理的安全管理措置は、担当者以外がマイナンバー情報を取り扱えないように、物理的に対策をすることです。例えば、マイナンバーを取り扱うスペースを隔離、入退室管理を行ったり、盗難防止としてPCをワイヤーで固定したりします。
技術的安全管理措置として、大きく分けて4つの対策が必要とされています。
マイナンバー情報に触れられる人をシステム上で限定したり、取り扱うPCを限定したりします。また、外部からの不正アクセスを防ぐには、ウィルス対策ソフトが必要になります。情報漏えい対策としては、ログの管理・監視が有効でしょう。
技術的安全管理措置を見ても、ログ管理はマイナンバー管理において必要なセキュリティ対策であり、基本となる施策です。次は、ログ管理の機能と適用方法を見ていきましょう。
「ログ」とはITシステムの操作履歴の詳細データのことです。マイナンバーにおいては、個人番号を登録しているデータベースやファイルへのアクセス、参照、変更、削除などの操作記録のことになります。
これらログデータを利用することで、万が一マイナンバー情報が漏えいした際、アクセスした人物を特定し、犯行を立証することができます。そのログデータが改ざんされていないことを証明できる場合、裁判資料としても使用できます。
逆にログ管理の措置がなされていない場合は、基本的なセキュリティ対策が整備されていない企業として、著しいブランドイメージの悪化や社会的糾弾を受けることになるでしょう。取引の停止や入社応募者数の激減などが予想されます。
マイナンバーは、外部からの攻撃より内部からの犯行が多いと予想されます。すでにはマイナンバーを売り飛ばすブラックマーケットが確立されており、悪意ある人間にとっては極めて魅力的な情報となります。しかし、内部犯行はセキュリティ対策面では極めて難しいジャンルとされています。
この内部犯行対策として効果的なのがログ管理です。ログを残し管理していることを公表することで、従業員は犯行を思いとどまります。これはアンケート結果でも現れており、発覚するとわかって犯行に及ぶほど人は愚かではありません。
ログ管理は事件が発生してからではなく、起こさせない対策としても効果があるのです。
セキュリティ事故を起こさせない、あるいはギリギリのところで防御する手段です。ログ管理ツールの多くには、操作の監視(モニタリング)機能が搭載されており、情報漏えいにつながる操作を発見すると、アラートを出すように設定することができます。
たとえば、マイナンバーの操作権限のない従業員が、該当するデータベースやファイルにアクセスしようとすると、セキュリティ担当者にアラートが出ます。同時に画面に「あなたにこのファイルの参照権限はありません」と表示され、従業員は自身のミスに気づきます。
参照権限があってもファイルを自分のパソコンへダウンロードしようとすると「このファイルのダウンロードが許されていません」または「このファイルのコピーは許されていません」と表示され、マイナンバー操作の社員教育にもなります。
しばしばこのような指摘を受ける社員は、要注意人物としてリストアップし対策を講じることも可能となります。本人の意思とは関係なく、背後にマルウェアの存在があるかもしれません。
マイナンバーは厳しい罰則金が科せられていることでも注目されています。正当な理由なくマイナンバー情報を漏らした場合200万円以下の罰金となっています。これら罰則金が社員に科せられることのないよう、ログ管理を徹底しましょう。ログデータは社員の身の潔白を証明する手段にもなります。
また、マイナンバーはこれまで行ってきた、セキュリティ対策の棚卸しと再整備の機会にもなります。これを好機として、社内のセキュリティ体制を再確認し、必要に応じてログ管理システムを検討してみてはいかがでしょうか。
会員になるとできること
注目の最新ニュース・製品・サービスの情報をメールで
お届けします。
気になる製品・サービスにもそのままお問い合わせ可能!
資料請求やお問い合わせをされた場合、提供会社へお知らせをさせていただきますので、ご了承いただけますようお願い申し上げます。
登録された個人情報は、マイページ「登録情報の変更」で変更いただけます。
ログ管理
第1位
各種ネットワークシステムの性能情報と、各機器が出力するシスログ、イベントログ、 アプリケーションログを基にした運用に必要な情報を一元管理することが可能になります。
アイビーシー株式会社
第2位
IT統制とシステム運用の現場を知り尽くしたNRIセキュアが提供する、ゲートウェイ型のアクセス管理ツールです。金融業界をはじめ、200社以上のお客様に導入され、高い評価をいただいております。
NRIセキュアテクノロジーズ株式会社
第3位
クライアントPCをはじめ、様々なIT機器やソフトウェア資産を一元的に管理して、運用管理を支援。情報セキュリティ対策やIT資産をより安全に有効活用するお手伝いをいたします。
キヤノンシステムアンドサポート株式会社
| 12月10日(月) 更新 | |
 |
|
|---|---|
 |
|
 |
|
 ランキング一覧へ
|
|
