物 理 的 安 全 管 理 措 置 目 的 物 理 的 安 全 管 理 措 置 は 以 下 の 点 を 目 的 として 対 処 をするものです 物 理 的 区 画 への 不 正 アクセスによる 情 報 漏 えいの 防 止 情 報 および 情 報 機 器 の 紛 失 盗 難 による 情 報 漏 えいの 防 止 本 項 では 目 的 ごとに 概 要 求 められる 要 件 と 手 法 をご 紹 介 します 1 物 理 的 区 画 への 不 正 アクセスによる 情 報 漏 えいの 防 止 自 宅 の 玄 関 に 鍵 が 無 い 家 はないでしょう 空 き 巣 被 害 に 遭 うリスクがあるため 外 出 する 際 は 鍵 をかけるはずです 大 切 な 書 類 やPCなどがある 書 斎 を 考 えましょう 夫 妻 は 出 入 りできて 良 い でしょうが 子 供 や 子 供 の 友 達 が 勝 手 に 出 入 りできると 大 切 な 書 類 が 無 くなったりするかもしれ ませんので できるだけ 鍵 をかけたいところです 上 の 例 では 家 の 中 で 家 族 みんなが 入 れる 場 所 ( 書 斎 以 外 の 場 所 ) 夫 妻 だけしか 入 れない 場 所 ( 書 斎 )を 考 えました そして 書 斎 を 鍵 で 施 錠 することを 考 えました つまり 区 画 アク セス 可 能 者 アクセス 制 御 方 法 を 考 えたわけです これが 物 理 的 区 画 への 不 正 アクセスによる 情 報 漏 えいの 防 止 です 事 務 所 でも 対 処 をする 必 要 があることは 常 識 的 に 理 解 できるでしょう 例 を 加 えます 夫 妻 の 友 人 が 訪 問 した 場 合 はどうでしょう やはり 夫 妻 だけしか 入 れない 場 所 ( 書 斎 )は 夫 妻 の 友 人 も 入 れないでしょうが それ 以 外 の 場 所 を 自 由 に 入 らせて 良 いか というと なかなか 難 しい 問 題 があるでしょう もしかすると 親 しい 友 人 の 場 合 には ちょっと 見 せて という 依 頼 に 案 内 という 形 でならば 対 応 できるかもしれません 友 人 ではなく 知 人 近 隣 の 人 という 関 係 人 が 訪 問 した 場 合 であるなら 玄 関 だけで 対 応 することにするかもしれません つまり 家 族 以 外 の 人 の 場 合 は その 人 との 関 係 性 をもとに アクセス 権 限 アクセス 制 御 方 法 を 決 めているのです 事 務 所 でも 同 様 に 外 部 の 様 々な 関 係 者 が 訪 問 しますので その 際 のアクセス 権 限 アクセス 制 御 方 法 を 決 める 必 要 があるのです 物 理 的 区 画 への 不 正 アクセスによる 情 報 漏 えいの 防 止 では リスクを 低 減 するため 以 下 の2 点 の 要 件 を 満 たす 対 処 をする 必 要 があります 個 人 情 報 の 管 理 区 域 取 扱 区 域 を 定 める 個 人 情 報 の 管 理 区 域 取 扱 区 域 への 入 室 を 制 御 する 1
なお 本 項 では 区 画 の 表 記 と 定 義 を 以 下 のようにしています 表 記 管 理 区 域 取 扱 区 域 事 務 所 定 義 個 人 情 報 を 保 管 管 理 する 区 域 個 人 情 報 を 取 り 扱 う 事 務 を 行 う 区 域 当 該 組 織 が 業 務 を 実 施 し 訪 問 者 の 応 対 も 行 う 区 域 求 められる 要 件 と 手 法 1 個 人 情 報 の 管 理 区 域 取 扱 区 域 を 定 める この 要 件 は 物 理 的 な 区 画 に 対 して 事 務 所 内 を 業 務 や 業 務 で 取 り 扱 う 情 報 の 観 点 で 区 分 し 適 切 なアクセス 制 御 を 実 施 することができるようにするためのものです 管 理 区 域 取 扱 区 域 の 定 義 を 前 述 しましたが 実 務 上 所 長 および 税 理 士 従 業 者 それ ぞれの 取 り 扱 う 情 報 を 区 別 することは 難 しいと 考 えられますので 応 接 スペース 以 外 の 部 分 を 取 扱 区 域 と 定 めて 良 いでしょう また 管 理 区 画 は 必 ずしも 執 務 可 能 な 空 間 (サー バ 室 など)とする 必 要 はなく 個 人 情 報 を 保 存 するサーバを 管 理 区 域 と 設 定 してもよい でしょう オフィスマニュアル 取 扱 規 程 上 に 明 示 する - オフィスのレイアウト 図 や 建 築 図 面 を 利 用 して 明 示 する - オフィスの 床 壁 などに 明 示 する - 管 理 区 域 取 扱 区 域 は フロアの 床 や 壁 に 明 示 して 定 義 することもできます ビニールテー プで 区 画 を 明 示 しても 良 いでしょう ただし 定 義 をして 後 述 する 入 室 制 御 の 対 処 を 講 じ 全 員 が 理 解 できるように 周 知 を 行 うことが 必 要 です 2 個 人 情 報 の 管 理 区 域 取 扱 区 域 への 入 室 を 制 御 する この 要 件 は 誰 が どこに どのような 方 法 で 入 るのかという 点 を 決 め 入 ることができ る 権 限 を 持 つ 人 だけを 入 室 させることで 不 正 なアクセスを 防 止 できるようにするための ものです この 要 件 で 重 要 なのは 制 御 する 仕 組 みが 機 能 することです 扉 は 必 須 ではありません 外 部 の 人 が 事 務 所 に 来 訪 した 際 には 従 業 者 が 声 をかけること というルールを 徹 底 すれ 2
ば 不 正 にアクセスすることは 難 しくなります 大 規 模 な 組 織 では 声 をかけるルールの 徹 底 は 難 しいかもしれませんが 小 規 模 の 事 務 所 であれば 可 能 でしょう 従 業 者 証 ( 入 館 証 ) 来 訪 者 証 での 識 別 有 人 での 監 視 警 備 員 による 監 視 従 業 者 所 長 による 監 視 施 錠 扉 の 設 置 物 理 的 鍵 の 扉 ICカード 認 証 式 の 扉 暗 証 番 号 式 の 扉 生 体 認 証 式 の 扉 情 報 システムのサーバ 室 への 格 納 サーバラックへの 格 納 など 来 訪 者 証 の 貸 出 管 理 簿 来 訪 者 管 理 簿 入 室 記 録 鍵 の 貸 出 記 録 入 室 記 録 鍵 の 貸 出 記 録 誰 が どこに 入 れるのか という 点 を 管 理 するために 特 に 従 業 者 の 多 い 事 務 所 では 管 理 簿 などでアクセス 権 限 を 設 定 することが 必 要 になるでしょう 管 理 簿 を 作 成 する 場 合 は 従 業 者 の 配 属 や 異 動 等 を 反 映 するとともに 定 期 的 に 棚 卸 を 実 施 し 管 理 簿 を 維 持 してください なお 入 室 の 制 御 が 十 分 でない 場 合 には 盗 み 見 を 防 止 するために 以 下 の 手 法 を 加 え ることも 有 効 です フロアレイアウトの 見 直 しによる 導 線 の 変 更 ディスプレイフィルタの 設 置 パーテーションの 設 置 2 情 報 の 紛 失 盗 難 による 情 報 漏 えいの 防 止 懇 親 会 の 幹 事 役 になったと 仮 定 しましょう 懇 親 会 費 用 を 集 める 場 合 には 会 費 が 間 違 いなく 受 領 できるように 保 管 する 時 は 人 目 に 触 れないように 使 う 場 合 には 持 ってくる 時 に 落 とさないよ うに 気 を 使 うはずです 金 庫 内 に 入 れていれば 何 の 問 題 もない と 考 える 方 はいないでしょう 集 めるときも 持 ち 出 す 時 も 注 意 をする 必 要 があり 清 算 が 終 了 するまで 安 心 できないからです 情 報 も 同 じです 集 める 使 うまたは 渡 す 保 管 する 廃 棄 する というプロセスがあります (こ れを 情 報 のライフサイクルと 呼 びます ) 情 報 が 紛 失 したり 盗 難 に 遭 ったりすることを 避 けるため には 保 管 だけではなく 集 める 場 合 使 う 場 合 などを 考 慮 して 対 処 を 考 える 必 要 があるのです 3
上 の 例 では 現 金 を 使 いました 他 の 例 として 会 社 のクレジットカードを 預 かることになった 場 合 はどうでしょう 小 切 手 を 顧 問 先 から 預 かることになった 場 合 はどうでしょう もちろん 注 意 はす ると 思 いますが 持 ち 運 ぶ 方 法 や 無 くした 場 合 に 備 えて 実 施 すること 無 くした 場 合 に 実 施 する ことなどは 同 じではないでしょう 形 態 に 応 じて 注 意 すべき 点 が 異 なるからです 情 報 も 同 じです 情 報 は 紙 サーバ PC 記 憶 媒 体 などの 形 態 をとっており それぞれの 形 態 で 保 管 持 出 し 廃 棄 などの 際 の 注 意 すべき 点 が 異 なります 先 ほどの 金 庫 の 例 と 同 じように 情 報 がサーバの 中 に 記 録 されている 状 態 だけを 考 えて 対 処 しても 持 出 し 時 や 廃 棄 時 等 の 対 処 が 考 慮 されていなければ 情 報 が 漏 えいするリスクは 低 減 できないのです 情 報 の 紛 失 盗 難 による 情 報 漏 えいの 防 止 では ライフサイクルの 段 階 ( 取 得 流 通 利 用 保 管 廃 棄 )と 対 象 (サーバ PCなどの 情 報 機 器 記 憶 媒 体 紙 など)とを 考 慮 して リスク を 低 減 するため 以 下 の6 点 の 要 件 を 満 たす 対 処 をする 必 要 があります 情 報 の 取 得 時 に 情 報 の 保 有 期 間 を 定 める 情 報 の 流 通 利 用 時 に 使 用 する 情 報 機 器 媒 体 を 明 確 にする 情 報 の 流 通 ( 持 出 し) 時 に 容 易 に 個 人 情 報 が 見 えない 仕 組 みを 整 備 する 情 報 の 流 通 ( 移 送 ) 時 に 委 託 する 場 合 に 追 跡 可 能 な 仕 組 みを 整 備 する 情 報 の 保 管 時 の 紛 失 盗 難 防 止 の 仕 組 みを 整 備 する 情 報 の 廃 棄 時 に 容 易 に 個 人 情 報 が 見 えない 仕 組 みを 整 備 する 求 められる 要 件 と 手 法 1 情 報 の 取 得 時 に 情 報 の 保 有 期 間 を 定 める この 要 件 は 個 人 情 報 が 利 用 目 的 を 限 定 して 取 り 扱 うものであるため 利 用 目 的 を 達 成 した 個 人 情 報 は 削 除 または 廃 棄 を 行 うことが 妥 当 なことから 求 められます 個 人 情 報 保 護 法 では 明 確 に 定 められていませんが マイナンバー 法 では 明 確 に 利 用 目 的 を 制 限 し ていますので 提 供 者 との 契 約 事 項 または 所 管 法 令 に 準 じて 必 ず 設 定 をしましょう 個 人 管 理 台 帳 等 を 整 備 して 所 有 する 情 報 資 産 を 把 握 する 個 人 情 報 管 理 台 帳 2 情 報 の 流 通 利 用 時 に 使 用 する 情 報 機 器 媒 体 を 明 確 にする この 要 件 は 業 務 で 使 用 するPCやUSBメモリ CD-Rなどを 洗 い 出 し 利 用 する 機 器 媒 体 の 意 図 しない 増 減 の 把 握 紛 失 時 の 早 期 発 見 媒 体 に 応 じた 適 切 な 対 処 などを 実 施 することができるようにするためのものです 4
必 ずしも 管 理 簿 を 新 たに 作 成 する 必 要 はなく 固 定 資 産 の 管 理 備 品 管 理 などの 管 理 簿 が 存 在 していれば それを 利 用 することで 問 題 はありません どのような 管 理 簿 を 利 用 す る 場 合 でも PCや 媒 体 の 購 入 廃 棄 などを 反 映 するとともに 定 期 的 に 棚 卸 を 実 施 し 管 理 簿 を 維 持 する 必 要 があります 機 器 管 理 簿 等 を 整 備 して 所 有 する 機 器 を 把 握 する 記 憶 媒 体 管 理 簿 等 を 整 備 して 所 有 する 媒 体 を 限 定 把 握 す る 機 器 管 理 簿 記 憶 媒 体 管 理 簿 3 情 報 の 流 通 ( 持 出 し) 時 に 容 易 に 個 人 情 報 が 見 えない 仕 組 みを 整 備 する この 要 件 は 情 報 を 情 報 機 器 記 憶 媒 体 紙 などの 形 態 で 持 出 した 際 に 紛 失 しても それを 拾 った 人 によって 中 身 を 確 認 されないようにするためのものです 情 報 が 入 った 情 報 機 器 記 憶 媒 体 紙 などを 持 ち 出 す 場 合 には 相 応 の 注 意 をして 持 ち 出 すと 思 いますが それでも 電 車 内 に 置 き 忘 れたり ひったくりや 置 き 引 きにあったりす ることがあります この 場 合 も 含 めて 中 身 の 情 報 を 守 る 対 処 をする 必 要 があります 情 報 機 器 紙 など 形 態 毎 の 対 処 の 手 法 をご 紹 介 します 形 態 情 報 機 器 記 憶 媒 体 情 報 にパスワードを 設 定 もしくは 暗 号 化 する 情 報 機 器 にパスワードを 設 定 もしくは 記 憶 領 域 を 暗 号 化 する 生 体 認 証 装 置 付 の 情 報 機 器 記 憶 媒 体 を 利 用 する 紙 外 から 中 身 が 透 けて 見 えない 封 筒 を 利 用 する 個 人 情 報 に 該 当 する 箇 所 に 目 隠 しシールを 張 る 紛 失 盗 難 にあった 場 合 でも 中 身 が 取 られないようにするため に 施 錠 できる 鞄 を 利 用 し 鍵 は 鞄 とは 別 に 保 持 しておく 本 手 法 は 実 施 した 記 録 を 正 確 に 取 得 することが 難 しいため 運 用 をチェックする 際 には 持 出 管 理 表 等 やヒアリングや 目 視 確 認 などを 実 施 するようにしてください 4 情 報 の 流 通 ( 移 送 ) 時 に 委 託 する 場 合 に 追 跡 可 能 な 仕 組 みを 整 備 する この 要 件 は 移 送 の 途 中 で 紛 失 盗 難 が 発 生 した 場 合 でも 被 害 にあったことを 早 期 に 検 知 し 責 任 の 所 在 を 明 確 にするためのものです 5
セキュリティ 便 を 利 用 する 配 送 記 録 ( 配 送 伝 票 ) 書 留 郵 便 を 利 用 する 配 送 記 録 ( 配 送 伝 票 ) 5 情 報 の 保 管 時 の 紛 失 盗 難 防 止 の 仕 組 みを 整 備 する この 要 件 は 事 務 所 内 のサーバや 情 報 機 器 記 憶 媒 体 紙 が 無 くなったり 盗 まれた りしないようにするためのものです また 情 報 機 器 記 憶 媒 体 の 場 合 は 記 録 されて いる 情 報 が 盗 まれないようにすることも 必 要 です 紙 や 記 憶 媒 体 などが 盗 まれることを 防 ぐためには 施 錠 保 管 することが 一 般 的 に 採 られる 手 法 です 施 錠 保 管 できない 情 報 機 器 が 盗 まれることを 防 ぐためには 情 報 機 器 を 固 定 することが 考 えられます 監 視 カメラを 設 置 して 記 録 を 取 得 することも 有 効 です 情 報 機 器 紙 など 形 態 毎 の 形 態 情 報 機 器 情 報 機 器 をセキュリティワイヤ 等 で 固 定 す る - 施 錠 保 管 する - 私 物 情 報 機 器 記 憶 媒 体 の 持 ち 込 みを 制 限 する 荷 物 検 査 の 実 施 私 物 保 管 ロッカーの 設 置 不 要 なUSBポート ディスク 挿 入 口 を 物 理 的 に 封 鎖 して 媒 体 情 報 機 器 への 書 き 出 しを 制 限 する 書 き 出 しを 制 御 するソフトを 利 用 して 媒 体 情 報 機 器 への 書 き 出 しを 制 限 する 監 視 カメラを 設 置 する - チェックリスト 点 検 票 ソフトのログ 監 視 カメラの 記 録 記 憶 媒 体 施 錠 保 管 する - 監 視 カメラを 設 置 する 監 視 カメラの 記 録 紙 施 錠 できる 書 庫 等 に 保 存 する - 監 視 カメラを 設 置 する 監 視 カメラの 記 録 クリアデスクを 徹 底 する - 監 視 カメラや 書 き 出 し 制 御 のソフトを 利 用 するといった 機 器 やソフトなどを 利 用 する 手 段 以 外 では 実 施 した 記 録 を 取 得 することは 難 しいでしょう 運 用 をチェックする 際 に ヒア 6
リングや 目 視 確 認 などを 実 施 するようにしてください 6 情 報 の 廃 棄 時 に 容 易 に 個 人 情 報 が 見 えない 仕 組 みを 整 備 する この 要 件 は 廃 棄 した 情 報 機 器 記 憶 媒 体 紙 などから 情 報 が 漏 えいしないようにするた めのものです PCの 中 に 記 録 された 情 報 は 通 常 の 方 法 でゴミ 箱 から 削 除 しても 情 報 を 復 元 できます また 紙 データはシュレッダーでの 裁 断 処 理 や 焼 却 処 理 を 行 わなければ 情 報 を 見 ること ができる 状 態 にあります 廃 棄 をする 予 定 の 機 器 や 紙 は 特 に 注 意 が 緩 んでしまいがち になりますので 廃 棄 予 定 のもの 廃 棄 後 のものから 情 報 が 漏 えいしないように 適 切 に 対 処 をしてください 形 態 情 報 機 器 記 憶 媒 体 ソフトウェアを 利 用 して 削 除 した 後 に 廃 棄 する 物 理 的 に 破 壊 した 後 に 廃 棄 する 削 除 記 録 廃 棄 物 の 受 領 記 録 廃 棄 記 録 紙 シュレッダーの 利 用 による 廃 棄 - 溶 解 焼 却 などの 処 理 を 委 託 する 受 領 記 録 紙 の 焼 却 溶 解 などは 各 事 務 所 で 実 施 できない 手 段 であるため 廃 棄 の 委 託 をすること となります 安 全 に 廃 棄 することを 宣 言 し 記 録 を 残 すことができる 廃 棄 業 者 に 委 託 する ことを 確 実 にしてください 7