・ 二要素認証30を採用すること。なお、この場合は、パスワードの定期的な変更は
必要ない。
・ 二要素認証の実装が困難な場合は、ID とパスワードによる認証を行うこと。
・ ID やパスワード等の本人認証情報は本人しか知り得ない状態に保つよう対策を
行い、他者への譲渡又は貸与は行わないこと。
・ パスワードルールは以下の通りとする。
✓

８文字以上の英数字、記号を混在させた推定困難な文字列とする。

✓

原則２ヶ月ごとに変更する。ただし、13 文字以上の英数字、記号を混在させた
推定困難な文字列を設定した場合、定期的な変更は不要である。

・ NDB データ等を利用・保存している情報システムに複数の者がログインする場
合、システム内のパスワードは暗号化（不可逆変換が望ましい。
）された状態で管
理・運用されること。
・ 取扱者がパスワードを忘れたり、盗用されたりする恐れがある等の理由で、情報
システム運用責任者等の取扱者本人以外がパスワードを変更する場合には、当該
取扱者の本人確認を行い、記録を残すこと。
・ システム管理者であっても、取扱者のパスワードを推定できないようにすること。
（設定ファイルにパスワードが記載される等があってはならない。）
ii)

不正アクセス行為を防止するため、適切な措置を講じること。NDB データ等の漏洩、
滅失、毀損を防止するため、適切な措置を講じること。
① 利用端末の管理
・ NDB データ等を利用する PC 等へのアクセスの記録及び定期的なログの確認
を行うこと。
・ アクセスの記録は少なくとも取扱者のログイン時刻（信頼できる時刻情報で
あること）
、アクセス時間及びログイン中に操作した取扱者が特定できること。
利用終了後少なくとも１年は保管すること。
・ 仮にアクセス記録機能がない場合には、業務日誌等で操作の記録（操作者及び
操作内容）を必ず行うこと。
・ NDB データを利用する PC 等にアクセスログへのアクセス制限を行い、アク
セスログの不当な削除、改ざん、追加などを防止する対策を講じること。
（※）
② 窃視防止の対策等
・ 窃視防止の対策を実施すること。具体的には、利用端末でデータ閲覧中の画面
が取扱者以外の者の視野に入らないよう、間仕切りの設置・座席配置の工夫、
覗き見対策のシートを貼る等の対策を実施すること（※）

IC カード等のセキュリティ・デバイス＋パスワード、IC カード＋バイオメトリクス(指紋、静脈、虹彩の
ような利用者の生体的特徴を利用した生体計測)やユーザ ID ・パスワード＋バイオメトリクスといった２つ
の独立した要素を用いて行う方式
30

- 23 -