- (技術的安全管理措置)
- Q110-18
「アクセス制御」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A10-18
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○識別に基づいたアクセス制御の実施
- ○ アクセス権限を有する者に付与する権限の最小化
- ○個人データを取り扱う情報システムへのアクセスが必要最小限となるような措置 (当該情報システムの同時利用者数の制限、当該情報システムの利用時間の制限(例えば、休業日や業務時間外等の時間帯には情報システムにアクセスできないようにする等))
- ○個人データを格納した情報システムへの無権限アクセスからの保護(例えば、ファイアウォール、ルータ等の設定)
- ○個人データにアクセス可能なアプリケーションの無権限利用の防止(例えば、アプリケーションシステムに認証システムを実装する、業務上必要となる者が利用する機器のみに必要なアプリケーションシステムをインストールする、業務上必要な機能のみメニューに表示させる等。)
- ○個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証 (例えば、OS・ウェブアプリケーションのぜい弱性有無の検証等。)
- ○個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施(例えば、個人データにアクセスする者の登録を行う作業担当者が適当であることを定期的に審査し、その者だけが登録等の作業を行えるようにする等。)