マイナンバー対策を考える(9) ISO27001入門 (1)

2013-04-29 10.37.09マイナンバーを取り扱うのに重要な点は、マイナンバーを漏洩させないことによって安心してマイナンバーを収集するということにあります。この為、個人事業主や法人を問わずマイナンバーを収集する民間事業者に対しては、マイナンバーガイドラインによって「安全管理措置」を講じるようにすることを求めています。

マイナンバーガイドラインが要求するのは次の四つです。

1.組織体制の整備などの組織的安全管理措置

2.事務取扱担当者の監督や教育などの人的安全管理措置

3.特定個人情報等を取り扱う区域の管理や、機器及び電子媒体等の盗難等の防止などの物理的安全管理措置、

4.アクセス制御、外部からの不正アクセス等の防⽌などの技術的安全管理措置

問題となる点は何をどこまですればいいのか、あるいは「私はマイナンバーを適切に管理しています」というにはどういう方法があるのか、ということになります。マイナンバーを適切に管理することを主張する方法のとして、JISQ27001に準拠させる、JISQ15001に準拠させるという方法があります。これらに準拠させると安全管理措置を講じていることの証明にはなりませんが、安全管理措置を講じるために事業者固有の課題を把握し、改善するための運営を行っていることを主張できます。また、JISQ27001やJISQ15001のばあいは第三者認証がありますから一定の水準にあることを担保することもできます。

JISQ27001によれば、4.1項で「最初に組織は,組織の目的に関連し,かつ,その ISMS の意図した成果を達成する組織の能力に影響を与える,外部及び内部の課題を決定しなければならない。」とあります。ここで、ISMSとはInformation security management systemsの略語で、情報セキュリティマネジメントシステムと日本語では翻訳されています。例えばISMSの意図した成果を、マイナンバーを適切に管理することを含む個人情報の管理を入れることによってISMSの対象にマイナンバー対策を加えることができます。

ISMS自体はJISQ15001と違い、個人情報法保護法に特化したものでありませんが範囲に加えることができます。例えば、情報システム上の負のリスクとして「マイナンバーを外部に漏洩すること」と最初に認識する、と決定します。実はここの決定においてマイナンバー以外にも営業情報の漏洩、マイナンバーを含む人事情報の漏洩、といった負のリスクに対してどのようにマネジメントするかについて検討することができます。

いま、負のリスクといっていますがISOの定義によればリスク”risk”とは「ある事象がおきる不確かさ」となっていますので、JISQ27001では正のリスクも存在しますが、マイナンバー対策を考える場合の正のリスクは、適切に管理することとなります。4.4項で「組織は,この規格の要求事項に従って,ISMS を確立し,実施し,維持し,かつ,継続的に改善しなければならない。」とありますから、規格要求事項に従ってセキュリティマネジメントシステムを設計できることになります。

Please follow and like us: