必要かつ適切な安全管理措置（後編）

必要かつ適切な安全管理措置の前編では、基本方針の策定、取扱規程等の策定、組織的安全管理措置について、中編では人的安全管理措置、物理的安全管理措置についてふれましたが、後編では技術的安全管理措置について解説します。

事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければなりません。

情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う必要があります。

中小規模事業者の場合は、特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定することが望ましい方法です。

また、機器に標準装備されているユーザー制御機能（ユーザーアカウント制御）により、情報システムを取り扱う事務取扱担当者を限定することが望ましいとされています。

これはパソコンに誰でもログインできるようにするのではなく、しっかりとユーザー及びパスワードを設定し、事務取扱担当者のユーザーとパスワードでログインした場合だけ、特定個人情報等にアクセスできるようにすることを指します。

特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

これは情報システムを用いて特定個人情報等を取り扱う場合、ユーザー及びパスワードなどで適切な認証を行っているかどうかを指し、認証機能がない場合は改修の必要があります。

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する必要があります。

中小規模事業者においても特定個人情報等を取り扱う機器（おもにパソコン）については、ウイルス対策ソフトを入れる、適宜Windows Updateなどを行いOSを最新の状態に保つ、使用するソフトウェアを最新バージョンに更新するなどの対策が必要です。

また可能であれば特定個人情報等を取り扱うパソコンは、インターネットに接続できない環境に置くことが望ましいでしょう。

特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講ずる必要があります。

メールで特定個人情報等を送信する場合、悪意のある第三者にその情報を盗み見られる可能性があります。そのため特定個人情報ファイルは必ず暗号化またはパスワードによる保護などの措置を講じた上で送信しましょう。

私はパスワードによる保護が必要な場合は、7-Zipという圧縮・解凍ソフトを使用しております。