VPC環境で利用できます。
Data Box Frameで提供する Data Box Frameのデフォルト設定を匿名データの取扱基準に提供しています。追加として仮名データを取り扱うには、別途の規定に従う必要があり、これを案内します。
仮名データ取扱のための規定遵守の責任
仮名データ取扱のための規定遵守についての責任は、Data Box Frameを利用する顧客にあり、Data Box Frameでは規定遵守に役立つ機能を提供します。
仮名データ取扱のための規定
仮名データ取扱のための規定は、以下の表にまとめられます。
| 仮名データ取扱のために顧客が遵守すべき法的要件 | 対応必要事項 |
|---|---|
| 個人情報の安全性確保措置基準第8条(アクセス記録の保管とチェック) ① 個人情報処理者(顧客)は、個人情報取扱者(顧客)が個人情報処理システムにアクセスした記録を1年以上保管・管理しなければならない。 個人情報の技術的・管理的保護措置基準第5条(アクセス記録の改ざん防止) ① 情報通信サービスの提供者などは、個人情報取扱者が個人情報処理システムにアクセスした記録を月1回以上定期的に確認、監督しなければならず、システム異常の有無の確認などのために最小1年以上のアクセス記録を保存・管理しなければならない。 信用情報監督規定第20条(技術的・物理的・管理的セキュリティ対策の構築基準) [別表3] 2. アクセス記録の改ざん防止 信用情報会社などは、個人信用情報処理システムのアクセス記録を1年以上保存し、偽装・改ざんを防止するために別途保存装置にバックアップ保管する。 |
サーバ別アクセスログ収集と保存 |
| 個人情報の安全性確保措置基準第8条(アクセス記録の保管とチェック) ③ 個人情報処理者は、個人情報取扱者のアクセス記録が偽装・改ざんと盗難、紛失しないように当該アクセス記録を安全に保管しなければならない。 個人情報の技術的・管理的保護措置基準第5条(アクセス記録の改ざん防止) ③ 情報通信サービスの提供者などは、個人情報取扱者のアクセス記録が改ざんされないように別途の物理的保存装置に保管し、定期的なバックアップを行わなければならない。 個人情報の安全性確保措置基準第5条(アクセス権限の管理) ③ 個人情報処理者は、第1項と第2項による権限付与、変更または抹消に対する履歴を記録し、その記録を最小3年間保管しなければならない。 |
アクセスログの長期保管(最小3年) |
| [ISMS-P 2.11.2脆弱性のチェックと措置] 情報システムの脆弱性が露出されているか確認するために、定期的に脆弱性チェックを実行し、発見された脆弱性に対しては素早く措置しなければならない。 |
サーバ脆弱性チェック(最小年1回) |
| 個人情報の安全性確保措置基準第9条(悪性プログラムなどの防止) 個人情報処理者は、悪性プログラムなどを防止・治療できるワクチンソフトウェアなどのセキュリティプログラムをインストール・運用しなければならない 個人情報の技術的・管理的保護措置基準第7条(悪性プログラムの防止) 情報通信サービスの提供者などは、悪性プログラムなどを防止・治療できるワクチンソフトウェアなどのセキュリティプログラムをインストール・運用しなければならない。 信用情報監督規定第20条(技術的・物理的・管理的セキュリティ対策の構築基準) [別表3] 4. コンピューターウィルスの防止 信用情報会社などは、個人信用情報処理システムと個人信用情報取扱者が個人信用情報処理に利用する情報処理機器にコンピューターウィルス、スパイウェアなど、悪性プログラムのペネトレーションの有無を常にチェック・治療できるようにワクチンソフトウェアをインストールする。 |
サーバセキュリティのためのウイルス対策 SWの実行 |
| 個人情報の安全性確保措置基準第12条(災害・災難構築の安全措置) ② 個人情報処理者は、災害・災難の発生時に個人情報処理システムのバックアップと復旧のための計画を構築しなければならない 信用情報監督規定第28条の3(データ専門期間) [別表7] ※ DataBox Frameをデータ結合目的として使用する場合 次の情報処理通信設備を備えること(2. バックアップと復旧システム) |
重要情報のバックアップ |
参考
より詳細な規定は、個人情報保護法と信用情報保護法に従います。
- 個人情報保護法
- 仮名情報処理のガイドライン
- 個人(仮名情報の技術的、管理的保護措置
- 個人(仮名)情報の安全性確保措置
- 信用情報保護法
- データ専門機関の施設・設備と人員・組織、財政能力などの要件
- 信用情報業監督規定-仮名情報に関する保護措置基準