Upload
hiroyasu-yamada
View
270
Download
0
Embed Size (px)
Citation preview
3
おさらい:マイナンバー制度とは 行政を効率化し、国民の利便性を高め 公平・公正な社会を実現する社会基盤。
住民票を有するすべての人に 12桁の個人番号が付さ
れる。
H27.10よりマイナンバー(個人番号)の通知開始 H28.1より、社会保障・税・災害対策の行政手続において
マイナンバーの告知が義務化 ※ H27年度の源泉徴収票にはマイナンバー記入義務なし
4
個人番号=マイナンバー H27.10 〜 11に、簡易書留にて住民票の住所宛てに 「通知カード」が送付される。 ※名古屋市は 12月・・・?
通知カードに記載される情報(基本 4情報) 「氏名」「住所」「生年月日」「個人番号(マイナンバー)」
事業者(会社、個人事業主)は、従業員やその扶養家
族の 個人番号を従業員本人の提示により取得する必要がある。
その他、個人事業主への報酬(原稿料、講演料等)に おける支払調書に個人番号の記入が必要。
5
個人番号カード(≠通知カード) 通知カードの記載情報を元に、住民本人が申請し、各市区町村の窓口で交付。
(表)顔写真、氏名、住所(裏)個人番号
ICチップ内蔵。様々な用途に活用可能。 e-Tax等の電子証明書を搭載可能。 (住基ネットはどうした・・・)
健康保険証、印鑑登録、銀行口座?レンタル会員証? 消費税の還付・・・?
事業主は基本的に責任を負わないがカードを身分証明書として扱う=OK
カード裏面をコピーして保管= NG
7
特定個人情報保護に関する義務規定 特定個人情報の収集・保管、ファイル・データベースの作成は、 マイナンバー法の規定によるものを除いて、禁止。
個人番号(従業員、業務委託先等)を取得する際には本人確認が
必要。
本人の同意があっても、本来の利用目的を超えて個人番号を 利用することは禁止。(利用目的:源泉徴収票作成、健康保険業務等)
個人番号関係事務を外部委託する場合(税理士、社労士等)、 委託者は委託先に対して監督義務を負う。(再委託先にも!)
法定の保管期間を経過した場合、速やかに廃棄する。
行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法) より抜粋
速やかに廃棄!
8
マイナンバーの罰則規定事業者の行為 罰則個人番号利用事務等に従事する者が正当な理由なく特定個人情報ファイルを提供した場合
4 年以下の懲役 or200 万円以下の罰金
上記の者が不正な利益を図る目的で個人番号を提供・盗用した場合
3 年以下の懲役 or150 万円以下の罰金
情報システムの事務に従事する者が情報システムに関する秘密を漏えい・盗用
3 年以下の懲役 or150 万円以下の罰金
4 年以上は即実刑!
法人の代表者、管理者、代理人、使用人の違反行為では、行為者とともにその法人・事業主に対しても罰金刑が課される。
9
事業者の安全管理措置義務( A) 基本方針の策定
事務の流れを整理し、 特定個人情報等の具体的な取扱規程等を策定しなけれはならない。
特定個人情報等の適正な取扱いに組織として取り組むために、基本方針の策定が重要。( B) 取扱規程等の策定 ( C) 組織的安全管理措置 ( D) 人的安全管理措置 ( E) 物理的安全管理措置 ( F) 技術的安全管理措置
特定個人情報等の適正な取扱いのために、組織的安全管理措置を講しなけれはならない。
特定個人情報の適正な取扱いに関するカイドライン (事業者編 ) より抜粋
事特定個人情報等の適正な取扱いのために、人的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、物理的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、技術的安全管理措置を講しなけれはならない。
10
事業者の安全管理措置義務( A) 基本方針の策定
事務の流れを整理し、 特定個人情報等の具体的な取扱規程等を策定しなけれはならない。
特定個人情報等の適正な取扱いに組織として取り組むために、基本方針の策定が重要。( B) 取扱規程等の策定 ( C) 組織的安全管理措置 ( D) 人的安全管理措置 ( E) 物理的安全管理措置 ( F) 技術的安全管理措置
特定個人情報等の適正な取扱いのために、組織的安全管理措置を講しなけれはならない。
特定個人情報の適正な取扱いに関するカイドライン (事業者編 ) より抜粋
事特定個人情報等の適正な取扱いのために、人的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、物理的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、技術的安全管理措置を講しなけれはならない。
「〜しなければならない」
していないで特定個人情報が
漏えいしたら・・・
11
事業者の安全管理措置義務( A) 基本方針の策定
事務の流れを整理し、 特定個人情報等の具体的な取扱規程等を策定しなけれはならない。
特定個人情報等の適正な取扱いに組織として取り組むために、基本方針の策定が重要。( B) 取扱規程等の策定 ( C) 組織的安全管理措置 ( D) 人的安全管理措置 ( E) 物理的安全管理措置 ( F) 技術的安全管理措置
特定個人情報等の適正な取扱いのために、組織的安全管理措置を講しなけれはならない。
特定個人情報の適正な取扱いに関するカイドライン (事業者編 ) より抜粋
事特定個人情報等の適正な取扱いのために、人的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、物理的安全管理措置を講しなけれはならない。特定個人情報等の適正な取扱いのために、技術的安全管理措置を講しなけれはならない。
15
情報セキュリティ上の「脅威」ウィルス(マルウェ
ア)
内部からの情報漏えい
標的型攻撃
不正アクセスによる攻撃・侵入
悪意のあるWeb サイト
• メールの添付ファイル• Web サイトからのダウンロード• フィッシングサイト• 悪性サイト→個人情報を抜き取られるおそれ• パスワード総当たり攻撃• 大量アクセスにより動作不能に( DDosS攻撃)• 企業 Web サイトへ不正侵入→改ざん• ターゲットを明確に絞った攻撃• USB メモリ、スマホ、パソコン持ち出し
• ネットワークストレージ、Web メール
16
某特殊法人の事例ファイル保管サービス 感染発覚
件名:◯◯に関する意見(試案)詳細はこちらのリンクからファイルをダウンロードしてご参照ください。http://***.***.***/***.docx
個人情報
20
脅威に対する対策(技術的措置として)ウィルス・マルウェ
ア
内部からの情報漏えい
標的型攻撃
不正アクセスによる攻撃・侵入
悪意のあるWeb サイト
• パソコンへのセキュリティソフトインストール• 水際でのウィルス検知・隔離• 「ブラックリスト」にあるサイトへの接続不可• Web閲覧制限(カテゴリーによる制限)• ファイアウォールによるアクセス制限• 不正アクセス(っぽいもの)を検知• 不正アクセス(と断定できるもの)を遮断• ↑↓の技術の組み合わせで対処 (根本的な解決は難しい・・・)• USB メモリ等のデバイスを無効化• ネットワークストレージやWeb メールへの接続不可
22
技術的措置②内部での情報取扱制限 ファイルサーバ等へのアクセス権限の管理
認証技術の採用( ICカード認証、指紋認証等)
USB メモリ等の外付けデバイスの使用不可にするソフトウェアの
導入
登録外のパソコンや無線機器の接続不可にするソフトウェアの導
入
ファイル暗号化ソフトウェアの導入これらと組織的・人的安全措置の合わせ技で対処する。 会社所有の USB メモリ等の使用許可制
システムルーム等への入室許可制
アクセスログの取得→アナウンス効果
25
究極の方法:仮想デスクトップ
コスト大!
「 5分で絶対に分かる仮想デスクトップ/ VDI 」 http://www.atmarkit.co.jp/ait/articles/1408/19/news033.html
データが端末に無いので抜き取れない!
28
UTM (Unified Threat Management=統合脅威管理)
ファイ
アウ
ォール
不正
侵入
ブロッ
ク
ウィルス
ブロッ
ク
WE
Bフ
ィルタ
リン
グ
セグ
メント
分割
31
まとめ 情報セキュリティの確保は、健全な経営遂行のために
必要である。
強固な情報セキュリティの実現には高いコストが必要
であり、利便性を犠牲にする可能性がある。そのため
何に重きをおき、どの程度のセキュリティ措置を実施
するかの判断が必要である。
技術的・物理的安全措置だけでなく、組織的・人的安
全措置を同時に実施することで、より強固な情報セ
キュリティを確保できる。