情報セキュリティ検定をはじめ、個人情報に関する検定を開催中。(財)情報協。

 

個人情報保護対策

 

個人情報保護の対策3(1/4)

 

(2006.6.23)

 

■技術的管理の実務知識

 

技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。
昨今の情報漏えい事件を受け、人的管理対策と同じくらいに、この技術的管理の対策が重視されている。
具体的には、外部からのネットワーク侵入による攻撃を防いだり、内部からの不正な操作が行われないように、アクセスにおける識別と認証、アクセス権限の管理、アクセスの記録、情報システムに対する不正ソフトウェア対策、移送・通信時の対策、情報システムの動作確認、情報システムの監視などの対策を行うことである。

 

【技術的安全管理措置として講じなければならない事項】
  @個人データへのアクセスにおける識別と認証
  A個人データへのアクセス制御
  B個人データへのアクセス権限の管理
  C個人データのアクセスの記録
  D個人データを取り扱う情報システムについての
   不正ソフトウェア対策
  E個人データの移送・送信時の対策
  F個人データを取り扱う情報システムの動作確認時の対策
  G個人データを取り扱う情報システムの監視(モニタリング)

 

@個人データへのアクセスにおける識別と認証

  個人データに対する正当なアクセスであることを確認するためにアクセス権限を有する従業者本人であることの識別と認証(例えば、IDとパスワードによる認証、生体認証等)の実施すべきである。
なお、IDとパスワードによる認証を利用する場合には、パスワードの有効期限の設定や、同一あるいは類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗したIDを停止する等の措置を講じたい。
  さらに、個人データへのアクセス権限を有する各従業者が使用できる端末、又はアドレス等の識別と認証(MACアドレス認証、IPアドレス認証、電子証明書や秘密分散技術を用いた認証など)を実施するのが望ましいと言える。


A個人データへのアクセス制御

  個人データへのアクセスについての識別と認証を徹底する以上に大切なのが、アクセス権限を付与すべき従業者数を必要最小限にとどめるべきである。また、アクセスを許可する者に変更(職責変更や退職など)があるたびに、迅速にアクセス権限やパスワードを変更する必要がある。
  個人データを取り扱う情報システムのアクセス制御機能の有効性の検証も怠ってはならない。(ウェブアプリケーションのぜい弱性の有無など)
※情報システムの特権ユーザーであっても、情報システムの管理上個人データの内容を知らなくてもよいのであれば、個人データへ直接アクセスできないようにアクセス制御をすることが望ましい。

[アクセス権限対策]

  • 従業者に付与するアクセス権限の最小化
  • 個人データを格納した情報システムへの同時利用者数の制限
  • 個人データを格納した情報システムの利用時間の制限(休業日や業務時間外等の時間帯には情報システムにアクセスできないようにする等)
  • 個人データを格納した情報システムへの無権限アクセスからの保護(ファイアウォール、ルータ等の設定)
  • 個人データにアクセス可能なアプリケーションの無権限利用の防止(アプリケーションシス テムに認証システムを実装する、業務上必要となる従業者が利用するコンピュータのみに必要なアプリケーションシステムをインストールする、業務上必要な機能のみメニューに表示させる等)


B個人データへのアクセス権限の管理

  個人データにアクセス権限管理の適切かつ定期的な見直しを行う。

C個人データへのアクセスの記録

  個人データへのアクセスや操作の成功と失敗の記録を一定期間残し、問題が発生した際に原因を突き止められるようにする。(個人データへのアクセスや操作を記録できない場合には、情報システムへのアクセスの成功と失敗の記録を取る)
その際は、採取した記録の漏えい、滅失及びき損からの適切な保護も行うこと。
※個人データを取り扱う情報システムの記録が個人情報に該当する場合があることに留意すること。

 

次のページ