マイナンバー対策 技術的安全管理措置対策 前編 | セキュリティ対策は必要?
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

セキュリティ対策は必要?

情報セキュリティ管理士(ISME)&監査人(ISIA)+ 情報処理安全確保支援士の資格を持っていることもあり、
良く聞かれることや、パソコンを触るからには知っておきたいこと等を発信していければと思います。

マイナンバー対策 技術的安全管理措置対策 前編

こんばんわ


本日は定例パッチの日

いつも通り右欄に反映しています手

ご確認くださいペコリ


マイナンバー対策.

今回こそ本題へ

【個人情報保護委員会】特定個人情報の適正な取扱いに関するガイドライン
http://www.ppc.go.jp/legal/policy/

ガイドラインを見ると、講ずべき安全管理措置には“組織的・人的・物理的・技術的”の4つのがあります

そもそも「ブログでやらないの」と言われた際の話題が技術的安全管理措置についてでしたので、今回は技術的安全管理措置対策について書いていこうかなと思っています

また今回は、中小規模事業者前提の対策を見て行き、特定個人情報等に関係なくご家庭でも実施しておいた方が良いなと思う対策についても、あわせて触れていければと思っています

技術的安全管理措置

ガイドラインの技術的安全管理措置を見ると、「事業者は …略… 技術的安全管理措置を講じなければならない」とあります
ガイドラインの読み方が冒頭に記載されていますが、“しなければならない”と書かれている事項については「これらに従わなかった場合、法令違反と判断される可能性がある。」とのこと
講じなければなりませんね警官

a アクセス制御

ガイドライン 情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
【中小規模事業者における対応方法】
○ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

 実施しておきたい事
 パソコン
  BIOSの起動パスワード・ハードディスクパスワード設定
  OSのユーザID・パスワード設定
  スクリーンセーバーパスワード設定
 ファイル
  (可能であれば)アクセス権設定
  パスワード設定

パソコンに関しては、企業では一般的に言われてきている内容ですが、ご家庭でも実施しておいた方が良いと思います
但し、パソコンが故障した際にデータを救出できない場合があったりもしますので、バックアップ等の対策も同時検討した上で実施しておいた方が良いですねポイント。
また、パスワードはうっかり忘れると解除できないものもありますので、忘れないようにしないといけません

ファイルに関しては、ご家庭で「アクセス権設定」までする必要はないかなと思いますが、「パスワード設定」は実施しておいた方が良いと思います
特に、重要なファイルは普段から「パスワード設定」し、あわせて暗号化ディスクや暗号化フォルダを併用しておくことをお勧めしますポイント。
ご家庭ならそんなに数はないとは思いますので大丈夫ですよね…

例えばExcelであれば、保存時(“名前を付けて保存”画面)に、[ツール]-[全般オプション]でパスワード設定が出来ます
以前、ご紹介しましたが、「データのパスワード設定や暗号化」や「記憶媒体自体の暗号化」はこちらの手順をどうぞ

【シェアオブ】安全な情報の受け渡し方~個人事務所、中小企業向けセキュリティ対策~
1.直接伝える・渡す。
http://www.sharingof.com/anan01.html#tag01_02
・データのパスワード設定や暗号化
・記憶媒体自体の暗号化

お約束ではありますが、パスワードはこちらで生成

【シェアオブ】パスワード自動生成処
http://www.sharingof.com/Password.php

ご家庭のパソコン、“誰に触られても良いよ!”,“特に重要なファイルは無いよ!”という方へ
 ブラウザにパスワードを記憶させていませんか
 うっかりインターネットに流出した場合に笑って許せられないもの入っていませんか
対策しておいた方が良くないですか

b アクセス者の識別と認証

ガイドライン特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
【中小規模事業者における対応方法】
○ 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定することが望ましい。

 実施しておきたい事
 特定個人情報等を取り扱う機器を特定
 機器を取り扱う事務取扱担当者を限定
 ユーザIDは各個人に付与
 
特定個人情報等を取り扱う場合、取り扱う機器と人を決める必要があるという事で、専用パソコンが必要な訳でもなく、専任者が必要と言っている訳でもありません
情報セキュリティ対策を実施している企業であれば、他の情報でも同じ様に決めていると思いますので、そんなに特別な事ではないと思います
“取扱担当者以外には見れないようにする”ということが目的なので、『ユーザID等を複数人での使いまわさない』という運用を守っていくのがキモのような気がしますね
“パスワードを忘れないようにパソコンに貼っておく”というのは、もちろんダメですよ

ご家庭では…取り扱う機器と人を決める必要もありませんし、ユーザIDも家族共通だったりします
基本はパスワード管理ソフト等で管理して、パソコン起動時のパスワードは家族の人にしか解らない場所に保管するといった事が出来ていれば良いのではないでしょうか

【セキュリティ対策は必要?】お奨めのパスワード管理ソフト
http://ameblo.jp/i-security/theme2-10076738114.html

パスワード管理ソフト、約2年前のお奨めですが未だに飛びぬけてお奨めなものが出てきてません
と言うのも、クラウドのパスワード管理サイトでは漏洩があったり、パソコンで利用するパスワード管理ソフトでも脆弱性が見つかったと言ったニュースを見かけます
有名どころですらそういう状況なので、100%安全な管理ツールは無い前提で、パスワード管理ソフト自体の安全対策も考えつつ、利用していくしかないですね


書き切る予定でしたが…次回に続きますペコリ


ではまた