こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
個人情報保護委員会は6月27日、一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】電力関連会社に個人情報の取り扱いに関する行政指導が行われたということです。今回は、個人情報を取り扱う上でアクセス権限の設定など、セキュリティの観点で気を付けるべきポイントについて説明します。
今回の行政指導は、電力関連会社に対して、「接点情報システム」「要請応対システム」に係る不適切事象の発生に伴い、個人情報保護法に対する違反の有無を検討したということです。違反の内容として、接点情報システムでは、システムのアクセス権限が電力関連会社に誤って設定され、当該システム上の顧客の個人データを、電力関連会社から閲覧できる状態となっていました。
要請応対システムでは、電力関連会社には「顧客検索機能」における自社の顧客情報及び「要請事項と対応結果の登録機能」へのアクセス権限のみが設定されているはずでしたが、「顧客検索機能」で他の電力関連会社の顧客情報へのアクセス権限も誤って設定されたままになっていました。また、本来、当該システムを利用しないはずの電力関連会社にも両機能へのアクセス権限が誤って設定されたままになっていたということです。
行政指導の内容として、問題点を踏まえ確実な対策を講ずるとともに、個人情報保護法第20条第1項及び第23条、また、個人情報保護法に関するガイドラインに基づき、必要かつ適切な措置を講ずることや、今般の事案を踏まえ、個人情報の適正な取扱いについて、全社的に総点検を実施し、必要に応じて改善策を講ずることが求められています。
アクセス権限を設定する上で気を付けるべきポイントとして、最小権限の原則を守ることや、定期的な見直しを行うことが挙げられます。
まず、ユーザーやグループに対して、業務遂行に必要な最小限の権限のみを付与する「最小権限の原則」を遵守することが必要です。例えば、ファイルサーバに置かれたすべてのファイルに全従業員がアクセスできる状態ではなく、フォルダやドライブに対して、必要最小のアクセス権限を適切に設定して、ファイルを共有することが求められます。アクセス権限の設定は、役職や部署だけでなく、業務内容や責任範囲に応じて設定することが求められます。
また、業務内容や組織体制の変化に合わせて、定期的にアクセス権限を見直し、必要に応じて修正することが必要です。組織変更のタイミングでは、異動や退職した従業員のアクセス権限を速やかに削除して、不要なアクセスを未然に防止することが求められます。
個人情報を取り扱う上で気を付けるべきポイントとして、基本的なセキュリティ対策を行った上で、組織全体で取り組むための体制整備や、万が一の漏洩発生時に対応できる準備を行うことが挙げられます。
基本的なセキュリティ対策として、先ほど説明したアクセス権限の設定に加え、物理面やネットワーク、端末のセキュリティ対策が挙げられます。具体的には、個人情報を取り扱う機器や書類を、盗難や紛失から守るために、施錠や入退館管理などの物理的な対策を講じます。また、ネットワークの境界にファイアウォールやUTMなどのセキュリティ対策機器を導入し、外部からの不正アクセスからネットワークを守ります。さらに、ノートパソコンやスマートフォンなどの端末に、アンチウイルスやEDRなどのセキュリティソフトを導入し、ウイルス感染や情報漏洩を防ぎます。
組織全体で取り組むために、個人情報保護に関する基本方針、リスク管理、内部統制など、組織全体で個人情報を取り扱うための仕組みが必要です。具体的には、個人情報保護に関する責任者を設置して、体制の運用状況を監督したり、個人情報保護に関する知識や手順を従業員に対して教育して、組織全体で漏洩リスクを低減することが求められます。
万が一、個人情報が漏洩してしまった際に、迅速かつ適切に対応できる準備も必要です。具体的には、個人情報漏洩へ対応するための手順を定め、速やかに監督機関及び本人へ報告と開示を行います。また、漏洩の原因を分析することで、再発防止策を策定して、実行することが求められます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
