個人情報保護委員会、東京電力グループ 3 社に行政指導
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・個人情報を取り扱う上でアクセス権限の設定
・セキュリティの観点で気を付けるべきポイント
今回の解説ニュース
電力関連会社に個人情報の取り扱いに関する行政指導が行われたということです。今回は、個人情報を取り扱う上でアクセス権限の設定など、セキュリティの観点で気を付けるべきポイントについて説明します。
今回の行政指導は、電力関連会社に対して、「接点情報システム」「要請応対システム」に係る不適切事象の発生に伴い、個人情報保護法に対する違反の有無を検討したということです。違反の内容として、接点情報システムでは、システムのアクセス権限が電力関連会社に誤って設定され、当該システム上の顧客の個人データを、電力関連会社から閲覧できる状態となっていました。
要請応対システムでは、電力関連会社には「顧客検索機能」における自社の顧客情報及び「要請事項と対応結果の登録機能」へのアクセス権限のみが設定されているはずでしたが、「顧客検索機能」で他の電力関連会社の顧客情報へのアクセス権限も誤って設定されたままになっていました。また、本来、当該システムを利用しないはずの電力関連会社にも両機能へのアクセス権限が誤って設定されたままになっていたということです。
行政指導の内容として、問題点を踏まえ確実な対策を講ずるとともに、個人情報保護法第20条第1項及び第23条、また、個人情報保護法に関するガイドラインに基づき、必要かつ適切な措置を講ずることや、今般の事案を踏まえ、個人情報の適正な取扱いについて、全社的に総点検を実施し、必要に応じて改善策を講ずることが求められています。
個人情報を取り扱う上でアクセス権限の設定
アクセス権限を設定する上で気を付けるべきポイントとして、最小権限の原則を守ることや、定期的な見直しを行うことが挙げられます。
まず、ユーザーやグループに対して、業務遂行に必要な最小限の権限のみを付与する「最小権限の原則」を遵守することが必要です。例えば、ファイルサーバに置かれたすべてのファイルに全従業員がアクセスできる状態ではなく、フォルダやドライブに対して、必要最小のアクセス権限を適切に設定して、ファイルを共有することが求められます。アクセス権限の設定は、役職や部署だけでなく、業務内容や責任範囲に応じて設定することが求められます。
また、業務内容や組織体制の変化に合わせて、定期的にアクセス権限を見直し、必要に応じて修正することが必要です。組織変更のタイミングでは、異動や退職した従業員のアクセス権限を速やかに削除して、不要なアクセスを未然に防止することが求められます。