①マイナンバー情報へのアクセス制御
情報システムを使用して個人番号関係事務を行う場合、事務取扱担当者及び当該事務で取扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行います。
アクセス制御を行う方法としては、①マイナンバーと紐付けてアクセスできる情報の範囲をアクセス制御により限定します。
アクセス制御を行う方法としては、②特定個人情報ファイルを取扱う情報システムをアクセス制御により限定します。
アクセス制御を行う方法としては、③ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取扱う情報システムを使用できる者を事務取扱担当者に限定します。
中小規模事業者における対応方法
特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定することが推奨されます。
また、機器に標準装備されているユーザー制御(ユーザーアカウント制御)により、情報システムを扱う事務取扱担当者を限定することが推奨されます。
②マイナンバー情報へのアクセス者の識別と認証
特定個人情報等を取扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証します。
事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等があげられます。
中小規模事業者における対応方法
特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定することが推奨されます。
また、機器に標準装備されているユーザー制御(ユーザーアカウント制御)により、情報システムを扱う事務取扱担当者を限定することが推奨されます。
③マイナンバ-情報への外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトから保護する仕組みを導入し、適切に対応します。
情報システムと外部ネットワークと接続箇所に、ファイアーウォール等を設置し、不正アクセスを遮断します。
情報システム及び危機にセキュリティ対策ソフト等(ウィルス対策ソフト等)を導入します。
導入したセキュリティ対策ソフト等により、入出力データにおける不正プログラムの有無を確認します。
機器やソフト等に標準装備されている自動更新機能等の活用により、機器のOSやソフト等を最新の状態にして、ウィルスなどの攻撃から守ります。
ログ等の分析を定期的に行い、不正アクセス等を検知します。
中小規模事業者における対応方法
上記の通り(※特例はありませんのでご注意ください)
④マイナンバー情報漏えい等の防止
特定個人情報等をインターネットのメール等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講じます。
通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が推奨されます。
情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護などが推奨されます。
中小規模事業者における対応方法
上記の通り(※特例はありませんのでご注意ください)
