よる固定、施錠したサーバラック内への設置、など）。
（14） 情報を取り扱う PC 等は、安全管理上の脅威（盗難、破壊、破損）のみならず、環
境上の脅威（漏水、火災、停電）からの物理的な保護にも配慮する。
【補足：利用場所について】
・匿名化された情報を利用する場合
利用場所（情報の保管場所を含む）が独立していない場合には、利用場所エリア
への出入口となる場所を限定し、そのポイントについては利用者や同室の職員が正
対して座るように座席を調整する等、動線についても管理し、不正侵入を防止する。
3.

技術的安全管理対策
本節では技術的安全管理対策について述べる。技術的安全管理措置とは、情報及びそれを

取り扱う PC 等へのアクセス制御、不正ソフトウェア対策、監視等をいう。技術的な対策の
みで全ての脅威に対抗できる保証はなく、一般的には運用による対策との併用は必須であ
る。技術的安全管理対策には以下の事項が含まれる｡
ア. 利用者の識別及び認証
イ. 情報の区分管理とアクセス権限の管理
ウ. アクセスの記録（アクセスログ）
エ. 不正ソフトウェア対策
オ. ネットワーク上からの不正アクセス対策
【対策】
*（1）個人情報を取り扱う PC 等は、スタンドアロン又は物理的若しくは論理的に外部ネッ
トワークから独立した有線の環境とする。
（2） システム管理者によって管理されている不正侵入検知・防御システム及びウイルス
対策機能のあるルータで接続されたネットワーク環境を構築する。
（3）情報を取り扱う PC 及びサーバに、ログインパスワードの設定を行う。
*（4）個人情報を取り扱う PC 及びサーバは、生体認証と他の方法との組み合わせによる多
要素認証とする。
（5）ログインのためのパスワードを 8 桁以上のものに設定し、第三者が容易に推測でき
るものは避ける。
（6）ログインのためのパスワードを定期的に変更し、以前設定したものの使い回しは避け
る。ただし、2 要素認証を採用している場合、必ずしもパスワードに定期的な変更は
求めない。
（7） パスワードを第三者の目につくところにメモしたり、貼付したりしない。
（8） 外部ネットワークと接続する電子媒体（USB メモリ、CD-R など）を、情報を取り
6