マイナンバー制度対応準備その2 ―特定個人情報の安全管理策の整備みならい君のマイナンバー制度対応物語(4)(1/3 ページ)

4回にわたり連載してきた「みならい君のマイナンバー制度対応物語」も、今回でいよいよ最終回となります。最後は、「特定個人情報の安全管理策の整備」について学んでいきましょう。

» 2015年08月24日 05時00分 公開
[打川和男@IT]
「みならい君のマイナンバー制度対応物語」のインデックス

連載目次

 この物語は、見習い内部統制室メンバーの「みならい君」が、上司や先輩に指導を受けながら、マイナンバー制度への対応作業を行っていく物語です。

 読者の皆さまには、この連載を通じて、マイナンバー制度への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

 なお、「みならい君」が所属する会社は、2015年4月に内部統制室が発足し、最初の仕事として、マイナンバー制度への対応を行うことが決定しました。

 最終回のテーマは、「特定個人情報の安全管理策の整備」です。


特定個人情報の安全管理策の考え方

こういち常務

よ〜し、みんなそろったかな〜?


ともみ先輩

は〜い、本日もよろしくお願いしま〜す!


みならい君

常務! 今日は、最後のテーマの「特定個人情報の安全管理策の整備」に関する具体的なポイントについてですね!


こういち常務

そうだね。まずは、情報セキュリティ対策を整備すべき対象を整理しようか?


ともみ先輩

特定個人情報保護委員会が発行した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「別添 特定個人情報に関する安全管理措置の概要(事業者編)」が参考になりますね!


みならい君

いろんなことが書いてあるな〜。これを全部やらないといけないんですか? 大変だな〜!


ともみ先輩

大丈夫! 確かにこのガイドラインに記述されている「しなければならない」や「してはならない」と規定されている事項は、従わなかった場合、法令違反と判断される可能性があるものだけど、「望ましい」と規定されている事項については、これに従わなかったからといって直ちに法令違反と判断されることはないのよ!


みならい君

へ〜そうなんだ! 安心した!


こういち常務

そうだね、特に「別添 特定個人情報に関する安全管理措置の概要(事業者編)」の中で「(手法など)が考えられる」と記述されている内容はあくまでも例示であって、番号法の趣旨を踏まえ、事業者の特性や規模に応じて“可能な限り”対応することが望まれるものなんだよ!


ともみ先輩

なるほど〜!


図1 ガイドライン利用の注意点
こういち常務

それでは、情報セキュリティ対策の特性をおさらいしようか? ともみさん、簡単に整理してくれるかな?


ともみ先輩

はい、情報セキュリティ対策を考える上で必要な事項としては、「情報に対する脅威」や「情報の保護に対する脆弱(ぜいじゃく)性」などを明確にすることが挙げられます。


こういち常務

その通り!


ともみ先輩

そもそも、情報に対する「脅威」は、その情報の保護に対する「脆弱性」が悪用されることで現実のものになります。また情報は、機密性などの「重要性」を保有しており、その重要性が高いほど、「情報セキュリティリスク」を増大させます。同様に、脅威の影響や発生可能性が高かったり、脆弱性が大きかったりする場合にも、もし対策が何も講じられていなければリスクが増大します。


みならい君

なるほど〜! まずは、自社で取り扱う特定個人情報(個人番号)にどのような脅威が予想されるか、また、その脅威の発生可能性を低減するための現状の対策レベル(脆弱性)を理解することが、セキュリティリスクを低減する上で大切なんですね!


こういち常務

そうだね、よく理解できているね!


図2 情報セキュリティの考え方

ところで、「脅威」って?

みならい君

でも「脅威」ってどんなものがあるんだろう?


ともみ先輩

「脅威」は大別すると、人為的な脅威とそれ以外に分けられるわ! 人為的な脅威以外のものとしては、システム障害、停電、火災や風水害のような自然災害などが考えられるわね!


みならい君

なるほど〜!


ともみ先輩

人為的な脅威は、その情報へのアクセスを「許可された者」による脅威と「許可されていない者」による脅威に分類され、また、アクセスを許可された者による脅威も、「第一者(社員)」と「第三者(委託先)」に分類されるわ。さらに、第一者(社員)による脅威も、「意図しない結果」と「故意による結果」に分類されるのよ!


みならい君

なるほど〜! 例えば、“情報へのアクセスを許可された、第一者による意図しない結果”とは、誤送信や紛失などのヒューマンエラーによる脅威を指し、“情報へのアクセスを許可されない、第三者の故意による結果”とは、不正アクセスや盗難などの脅威を指すんですね!


ともみ先輩

情報セキュリティ事件や事故の大半がヒューマンエラーといわれているわ。だから特に、“情報へのアクセスを許可された、第一者による意図しない結果”を引き起こすような脅威を特定し、対策を講じることが重要だわ!


図3 情報セキュリティの脅威
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。