4回にわたり連載してきた「みならい君のマイナンバー制度対応物語」も、今回でいよいよ最終回となります。最後は、「特定個人情報の安全管理策の整備」について学んでいきましょう。
この物語は、見習い内部統制室メンバーの「みならい君」が、上司や先輩に指導を受けながら、マイナンバー制度への対応作業を行っていく物語です。
読者の皆さまには、この連載を通じて、マイナンバー制度への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。
なお、「みならい君」が所属する会社は、2015年4月に内部統制室が発足し、最初の仕事として、マイナンバー制度への対応を行うことが決定しました。
最終回のテーマは、「特定個人情報の安全管理策の整備」です。
よ~し、みんなそろったかな~?
は~い、本日もよろしくお願いしま~す!
常務! 今日は、最後のテーマの「特定個人情報の安全管理策の整備」に関する具体的なポイントについてですね!
そうだね。まずは、情報セキュリティ対策を整備すべき対象を整理しようか?
特定個人情報保護委員会が発行した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「別添 特定個人情報に関する安全管理措置の概要(事業者編)」が参考になりますね!
いろんなことが書いてあるな~。これを全部やらないといけないんですか? 大変だな~!
大丈夫! 確かにこのガイドラインに記述されている「しなければならない」や「してはならない」と規定されている事項は、従わなかった場合、法令違反と判断される可能性があるものだけど、「望ましい」と規定されている事項については、これに従わなかったからといって直ちに法令違反と判断されることはないのよ!
へ~そうなんだ! 安心した!
そうだね、特に「別添 特定個人情報に関する安全管理措置の概要(事業者編)」の中で「(手法など)が考えられる」と記述されている内容はあくまでも例示であって、番号法の趣旨を踏まえ、事業者の特性や規模に応じて“可能な限り”対応することが望まれるものなんだよ!
なるほど~!
それでは、情報セキュリティ対策の特性をおさらいしようか? ともみさん、簡単に整理してくれるかな?
はい、情報セキュリティ対策を考える上で必要な事項としては、「情報に対する脅威」や「情報の保護に対する脆弱(ぜいじゃく)性」などを明確にすることが挙げられます。
その通り!
そもそも、情報に対する「脅威」は、その情報の保護に対する「脆弱性」が悪用されることで現実のものになります。また情報は、機密性などの「重要性」を保有しており、その重要性が高いほど、「情報セキュリティリスク」を増大させます。同様に、脅威の影響や発生可能性が高かったり、脆弱性が大きかったりする場合にも、もし対策が何も講じられていなければリスクが増大します。
なるほど~! まずは、自社で取り扱う特定個人情報(個人番号)にどのような脅威が予想されるか、また、その脅威の発生可能性を低減するための現状の対策レベル(脆弱性)を理解することが、セキュリティリスクを低減する上で大切なんですね!
そうだね、よく理解できているね!
でも「脅威」ってどんなものがあるんだろう?
「脅威」は大別すると、人為的な脅威とそれ以外に分けられるわ! 人為的な脅威以外のものとしては、システム障害、停電、火災や風水害のような自然災害などが考えられるわね!
なるほど~!
人為的な脅威は、その情報へのアクセスを「許可された者」による脅威と「許可されていない者」による脅威に分類され、また、アクセスを許可された者による脅威も、「第一者(社員)」と「第三者(委託先)」に分類されるわ。さらに、第一者(社員)による脅威も、「意図しない結果」と「故意による結果」に分類されるのよ!
なるほど~! 例えば、“情報へのアクセスを許可された、第一者による意図しない結果”とは、誤送信や紛失などのヒューマンエラーによる脅威を指し、“情報へのアクセスを許可されない、第三者の故意による結果”とは、不正アクセスや盗難などの脅威を指すんですね!
情報セキュリティ事件や事故の大半がヒューマンエラーといわれているわ。だから特に、“情報へのアクセスを許可された、第一者による意図しない結果”を引き起こすような脅威を特定し、対策を講じることが重要だわ!
Copyright © ITmedia, Inc. All Rights Reserved.
Security & Trust 記事ランキング