40. 企業が技術的安全管理措置を取る必要性

現在では、どこの企業でもコンピュータにより個人データを管理していると思います。そのため、企業で取り扱っている個人データを守るためには、コンピュータへの権限外のアクセスや、ネットワークを通じての不正アクセスを防止する「技術的安全管理措置」が特に重要になってきます。ここでは、企業が行うべき技術的安全管理措置についてご説明しましょう。

技術的安全管理措置はIT関連の情報セキュリティ対策

事業者がとるべき個人情報の安全管理措置のひとつに、技術的安全管理措置があります。経済産業省が用意している個人情報保護法のガイドラインによると、技術的安全管理措置とは、「個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置を行うこと」とされています。

つまり、コンピュータやネットワークの技術を駆使して情報漏洩を防止する方法が、技術的安全管理措置ということになります。

情報漏洩はコンピュータネットワークを通じて起こるリスクが高い

個人情報が外部に漏れないよう安全に管理するためには、社内における情報管理体制を整備する組織的安全管理措置、従業員から情報漏洩しないよう対策をとる人的安全管理措置、情報への物理的なアクセスを制限する物理的安全管理措置だけでは不十分です。

個人情報をコンピュータで管理している限り、外部からいつ誰がインターネットを通じて社内ネットワークに不正侵入してきてもおかしくはありません。そのため、企業において情報漏洩を防止するためには、外部からの不正アクセスを防御できる体制を整えておくことが重視されるのです。

また、技術的安全管理措置は外部からの侵入に限らず、内部からのアクセスについても検討する必要があります。社内においても、権限を持った人だけが情報にアクセスできるよう、アクセスの制御をするべきでしょう。

技術的安全管理措置として企業がやるべきこと

技術的安全管理措置のうち、社内からの情報漏洩防止のためにまずやるべきこととしては、以下のようなことが挙げられます。

<アクセスの制御、管理、記録>
個人データにアクセスできる人間を必要最小限にして、アクセス権限を設定しましょう。権限を持っている人のアクセスは、パスワードを使って認証を行う必要があります。このとき、個人データへのアクセス権限はしっかりと管理し、定期的に見直しをすると良いでしょう。
さらに、個人データへのアクセスの記録をとっておき、問題が起こったときに速やかに原因を突き止められるようにしておくべきです。

<不正アクセス対策>
外部からの不正アクセスを防止するためには、ファイアウォールを設置するのが有効です。また、ウィルス対策ソフトウェアを導入し、入出力データによる不正アクセスの有無を確認するようにしましょう。定期的にログの分析を行い、不正アクセスをスピーディーに検知することも大切です。

<データ送信時のルール設定>
情報漏洩は個人データをインターネットで送信する際に起こる可能性が高くなります。個人データを移送、送信する際の社内ルールを設定し、社内から情報漏洩が起こらないよう万全の対策をとるようにしましょう。

技術的安全管理措置は、個人情報の安全管理措置の中でも特に重要なものと考えられています。技術的安全管理措置を行うには、コンピュータやネットワークに関する専門的な知識や技術が必要になってきますので、専門の業者のサポートを受けるのがおすすめです。

マイナンバー対策に必要なログ管理とは?

マイナンバーを取り扱う際に想定される安全管理措置と、その安全管理措置に対するPC操作ログ管理システムの効果をご紹介します。≫ マイナンバー対策に必要なログ管理とは?