コンピュータを用いて特定個人情報を管理・保持しようとする場合に用いる技術を定めるものです。
ガイドラインには、技術的安全管理措置として
個人番号部分を記録・保存するPCは他のPCと分ける。
PCとフォルダーにアクセス制限をかける(IDとパスワード)。
ウィルス対策ソフト等の導入と最新の状態にアップデート。
操作ログを取得する。
操作ログの検索機能を実装。
などがあります。
コンピュータを用いない場合
物理的安全管理措置によって情報が盗難・漏えいしないように保護することになります。
コンピュータを利用する場合
- 自社のIT化の状況によって実施できることとできないことがあります。
例えば、特定個人情報をExcelなどを利用して管理する場合と、専用または業務と一体化したITシステムを利用して管理するのでは、データの保護方法やアクセス制御方法は異なるはずです。
- IT環境による違いもあります
例えば、スティック型PCとサーバーのフォルダに格納されている、またはクラウドなど利用するIT環境によっても採用する技術は異なります。特に、クラウドの場合はほとんどのセキュリティ・技術要素はサービスを提供している業者に依存するでしょう。クラウドの場合は、自社内のセキュリティをどうするかにフォーカスすることが必要です。
運用も考慮
「操作ログを取得」「操作ログの検索機能」の関係では、直接は技術的安全管理措置ではないですが、組織的安全管理措置との関係で、これを用いてどのように特定個人情報の機密性を確保するかという運用面を考えておきましょう。
せっかくIT機能を実装しても、運用しなければ意味がないですから。