秘密分散技術で情報漏洩対策、個人情報保護 情報セキュリティの新定番『GFI電子割符®』

Global Friendshio Inc.
プライバシーポリシー
news

[2015.08.20]

特定個人情報保護委員会様(以下、「委員会」)より、Q&Aの追加が出ました

平成27年8月6日
特定個人情報保護委員会
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び
「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&Aの追加
http://www.ppc.go.jp/files/pdf/270806koshin.pdfこの中で、

10:(別添)安全管理措置

Q10-2 事務取扱担当者には、特定個人情報等を取り扱う事務に従事する全ての者が該当しますか。

A10-2 事務取扱担当者は、一般的には、個人番号の取得から廃棄までの事務に従事する全ての者が該当すると考えられます。

ただし、事務取扱担当者に該当するか否かを判断することも重要ですが、当該事務のリスクを適切に検討し、必要かつ適切な安全管理措置を講ずることが重要です。

例えば、担う役割に応じて、定期的に発生する事務や中心となる事務を担当する者に対して講ずる安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対して講ずる安全管理措置とが異なってくることは十分に考えられます。

なお、社内管理上、定期的に発生する事務や中心となる事務を担当する者のみを事務取扱担当者と位置付けることも考えられますが、特定個人情報等の取扱いに関わる事務フロー全体として漏れのない必要かつ適切な安全管理措置を講じていただくことが重要です。(平成27年8月追加)

11:講ずべき安全管理措置の内容

Q11-4 標的型メール攻撃等による特定個人情報の漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいですか。

A11-4 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し適切に運用する等のガイドラインの遵守に加え、次のような安全管理措置を講ずることが考えられます。

  • 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。
  • 特定個人情報ファイルを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿する(データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮する。)。
  • 情報漏えい等の事案の発生又は兆候を把握した場合の迅速な情報連絡体制についての確認・訓練を行う。
    また、独立行政法人情報処理推進機構(IPA)等がホームページで公表しているセキュリティ対策等を参考にすることも考えられます。(平成27年8月追加)

といった記述があります。

既公開委員会のQ&Aで、

Q9-2個人番号を暗号化等により秘匿化すれば、個人番号に該当しないと考えてよいですか。

A9-2個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。(平成27年4月追加)

と情報公開されており、

読者によっては暗号を用いることに関し、混乱してしまうこともありますし、法令対処をする各位が参考とする情報等に関し、今回のQ&Aでは1つの団体の名称しか具体的団体名が記載されていないので、他の団体や公開情報に関しても「参考」の対象になるのか等を、マイナンバー全国共通ナビダイヤルに確認(2015年08月13日、注1)しました。

Q1:貴委員会の既公開Q&Aで、暗号化してあっても番号法第2条第8項に規定する個人番号に該当することが公開されている。よって、万が一の事態も想定し、暗号以外の技術的安全管理措置を法令対処として選択したいが、暗号以外は認められないのか。

A1:技術的安全管理措置は、暗号以外でも法令対処する主体の自主的判断で選択できる。

Q2:今回のQ&Aを読むと、参考とすべき対策案の出所が独立行政法人情報処理推進機構(IPA)しか実名記載されていないが、内閣サイバーセキュリティセンター(旧:内閣官房情報セキュリティセンター)(NISC)や一般財団法人日本情報経済社会推進協会( JIPDEC)等の既公開報告書や総務省や経済産業省等の実証事業成果報告等の内容を利活用することは、Q&Aの中の、
~独立行政法人情報処理推進機構(IPA)等
の「等」の範疇と考えて良いか。

A2:特段限定していないが、問いにあるNISC等の団体や省庁等の開示情報を利活用して法令対処することも、問いに有る「等」に入る。

Q3:前Q2の公開資料に実績として記載される信頼できる秘密分散技術(電子割符)を適切に用いて法令対処を実施することも、番号法(注2)における安全管理措置の具体的対処のひとつと言えるか。

A3:いえる。

(注1)
内閣官房社会保障改革担当室・内閣府大臣官房番号制度担当室
〒107-0052 東京都港区赤坂1-9-13 三会堂ビル8階
http://www.cas.go.jp/jp/seisaku/bangoseido/
0570-20-0178
マイナンバー全国共通ナビダイヤル

(注2)マイナンバー法(番号法)
行政手続における特定の個人を識別するための番号の利用等に関する法律
(平成25 年法律第27 号)

既存情報管理も含め、万が一の事態も想定し、上記参考となる公開資料記載の事例等実現の際に用いられている信頼できる我々秘密分散法コンソーシアムが技術標準化を推進する秘密分散技術(一般名称:電子割符)を、適切にご利用下さい。

本リリースに関する問い合わせは、
秘密分散法コンソーシアム 事務局 保倉(
までお願いします。

image
トップページ | 電子割符 | 製品紹介 | サポート | 応用事例 | NEWS | 会社概要・リクルート | プライバシーポリシー
© Global Friendship Inc. All rights reserved.
image