NBDCヒトデータ取扱いセキュリティガイドライン（データベースセンター運用責任者ならびに「機関外サーバ」運用責任者向け）

2021.06.22
Ver. 3.0

はじめに

国立研究開発法人科学技術振興機構（以下、JST）NBDC事業推進部（以下、NBDC）は、NBDCヒトデータ共有ガイドライン（以下、共有ガイドライン）に則ってヒトデータベースを運営している。データ利用者向けには、「NBDCヒトデータ取扱いデータ取扱いセキュリティガイドライン（データ利用者向け）」（以下、データ利用者ガイドライン）を定めている。一方、データ提供者からデータを預かりデータ利用者に提供するデータベースセンター（以下、DBセンター）に対しては、共有ガイドラインで定義する制限公開データや公開待機データ（特許取得や論文発表前のデータ）も扱うため、データ利用者と同等以上のセキュリティが求められる。なお、DBセンターが取扱うデータ（以下、取扱いデータ）は、特定の個人（死者を含む）を識別することができることとなる記述等の全部又は一部を除き、代わりに当該個人とかかわりのない符号又は番号を付し、その後、さらに符号又は番号の振りなおしを施したデータに限るものとする。

この文書は、データ利用者ガイドラインをベースにDBセンターが講じるべきセキュリティ対策について示したものである。また、データ利用者に対して、データの保存や計算処理を行うためのリソースを提供する、共有ガイドラインで定義している「所属機関外利用可能サーバ（以下「機関外サーバ」）」についても、本ガイドラインに準拠するものとする。

なお、DBセンターやデータ利用者をとりまくIT環境は千差万別で、日々変化しているため、このガイドラインを遵守するだけでセキュリティが十分に保証されるとは限らない。DBセンター毎に、必要に応じて追加のセキュリティ対策を講じることが求められる。このガイドラインについては、IT環境の進展に応じ、適宜見直しを行うものとする。

１. 用語定義

制限公開データ、データ
- 共有ガイドラインで定義している「制限公開データ」。
運用責任者
- DBセンター責任者、または、「機関外サーバ」責任者。
作業者
- DBセンターまたは「機関外サーバ」の運用に係る作業のため、運用責任者がデータサーバに保存されたデータへのアクセスを許可した者。
データ利用者
- 共有ガイドラインで定義している「データ利用者」。
データサーバ
- DBセンターにおいて、データ提供者から提供されたデータの保存や暗号化等の処理、データ利用者への制限公開データの送信、などを行うための計算機環境。または、「機関外サーバ」において、データ利用者が制限公開データの保存や計算処理を行うための計算機環境。
データアクセス端末
- データがローカルに永続的に保存されることなく、作業者がデータサーバ内の取扱いデータにアクセスするための機器。尚、データアクセス端末とデータサーバ間のデータ伝送の際に、データサーバ設置LAN外の通信経路を介する場合は、全ての通信経路を十分な強度で暗号化する、またはデータ自体を暗号化した上で伝送することが必要。

２. セキュリティ対策について

原則、データ利用者ガイドライン「3．ハイレベル【TypeⅡ】セキュリティにおいて必要な対策」と同等の対策を実施すること。

２－１．運用責任者が遵守すべきこと

＜運用全般について＞

運用責任者は、NBDCヒトデータ共有ガイドライン及びNBDCヒトデータ取扱いセキュリティガイドラインに準拠した運用を行うこと。
運用責任者は、作業者一覧を作成し、常に最新の状態を維持すること。
運用責任者は、NBDCヒトデータ取扱いセキュリティガイドラインを、作業者に周知して遵守させること。
運用責任者は、運用責任者及び全ての作業者に、所属機関等が実施する情報セキュリティに関する教育を受講させること。
運用責任者は、作業者とデータサーバ（ファイルシステム内での格納場所を含む）に関する情報を、運用責任者及び作業者のみがアクセス可能な電子ファイル等で台帳管理し、変更が発生する都度、内容を更新すること。なお、変更履歴が確認できるように管理を行うこと。
運用責任者は、NBDCあるいはNBDCから依頼された第三者が実施する、セキュリティ対策の実施状況についての監査に応じること。
運用責任者は、システム構築時及び2~3年に一度を目途に、システムセキュリティの専門家による監査を自主的に実施すること。監査結果の写しを、NBDCに提出すること。
データの漏えい等セキュリティに関する事故が発生した場合、運用責任者は直ちに対策を実施するものとし、速やかにNBDCに報告すること。

＜データサーバについて＞

運用責任者は、以下の条件①～③を全て満たすサーバ室にデータサーバを設置すること。
- ① 以下の３つの認証方法の内、2つ以上を組み合わせた多要素認証で、入室者を限定すること。
  - 生体認証（例：静脈、指紋、虹彩、顔）
  - 所有物認証（例：ICカード、ワンタイムパスワード、USBトークン）
  - 知識認証（例：パスワード）
- ② 入室記録を自動取得し、後日監査可能であること。
- ③ 専用のサーバ室であること。専用のサーバ室を確保できない場合は、常時施錠された専用のサーバラックにデータサーバを格納すること。
運用責任者は、データサーバのデータ保存領域、及びデータ利用者がデータの保存や計算処理に利用する領域について、適切にアクセス制御を行うこと。データサーバやインターネットを介して、作業者及びデータ利用者のみが、許可されたデータのみにアクセスできるよう管理すること。
運用責任者は、データサーバを設置しているLANと外部ネットワークとの間にファイアウォールを設置し、外部とのアクセスを必要最小限（例：アクセス元、アクセス先のIPアドレスやポートが限定されている）に管理して高いセキュリティを保つこと。
運用責任者は、データサーバを設置しているLANからの通信に対しても、最低限OS付属のファイアウォール機能（例：iptables（Linuxの場合））等により、適切に制限を行うこと。
運用責任者は、データサーバのユーザIDやパスワードは、データ利用者間での共有を認めないこと、かつ、パスワードは他人が類推できない十分な強度に設定させること。（８文字以上とすること。数値、英大小文字と記号を組合せたものが望ましい。氏名、電話番号、誕生日等の推測し易いものを利用しないこと。）
運用責任者は、データサーバにインストールした全てのソフトウェアについて、できる限り最新のセキュリティパッチを適用すること。
運用責任者は、サービスに不要なソフトウェアをインストールしないこと。特にファイル共有（ファイル交換、P2P）ソフト（例：Winny、BitTorrent）をインストールしないこと。
運用責任者は、ウィルス対策ソフトをインストールし、データサーバ外からNBDCヒトデータベースを介して入手したデータ（制限公開データ[Japanese Genotype-phenotype Archive: JGA]、制限共有データ[AMED Genome AGD]、非制限公開データ[DDBJ Sequence Read Archive: DRA, Genomic Expression Archive: GEA]）以外のファイルを取り込む場合はその場でウイルススキャンを実施すること。また、ウィルス対策ソフト及びウィルス定義ファイルは最新の状態を維持すること。
運用責任者は、OS起動時等に不要なプロセスはできるだけ起動させないこと。
運用責任者は、データサーバでのアクセスログを取得し、定期的に確認すること。
運用責任者は、取扱いデータを保存した機器を廃棄する場合には、データの保存領域を復元不可能な方法で初期化すること。もしくは、復元不可能となるように物理的に破壊すること。
運用責任者は、データの漏えい等セキュリティに関する事故が発生した場合、直ちに対策を実施するものとする。

２－２．作業者が遵守すべきこと

作業者は、所属機関等が実施する情報セキュリティに関する教育を受講すること。
作業者は、データアクセス端末から、データサーバが設置されているLAN外の通信経路を介してデータサーバにログインする場合は、データアクセス端末とデータサーバ間のデータ伝送の都度、全ての通信経路を十分な強度で暗号化する、またはデータ自体を暗号化した上で伝送すること。データサーバが設置されているLAN内からデータサーバにログインする場合も、同様の暗号化を行うことが望ましい。
作業者は、不特定多数が利用する機器（例：ネットカフェのPC）上の端末からデータにアクセスしないこと。
作業者は、データアクセス端末には出来る限り最新のセキュリティパッチを適用すること。
作業者は、データアクセス端末から離れる場合は、データサーバからログアウトするか、データアクセス端末をロックすること。また、一定時間（１５分程度を目安）以上無操作の場合はデータアクセス端末画面がロックされるように設定すること。
作業者は、運用責任者またはデータ利用者から許可を得ていないデータにはアクセスしないこと。
作業者は、データアクセス端末画面上の取扱いデータをコピーしてローカルディスクに保存しないこと。データアクセス端末画面上に表示された取扱いデータを、コピーしてローカルディスクに保存することができないデータアクセス端末の利用が望ましい。
作業者は、データアクセス端末にデータを自動的に保存する機能（いわゆるキャッシュ機能）がある場合は当該機能を無効にすること。
作業者は、取扱いデータのコピーを作成したり、取扱いデータをデータサーバ外に移動したりしないこと。　但し、以下の場合は例外とする。これらの場合も、利用後速やかに復元不可能な方法で消去すること。
- 取扱いデータをバックアップする場合
- 取扱いデータの移動時に一時的に作成する場合
- ソフトウェアによって一時的に作成される場合
作業者は、データのバックアップ取得の際は、以下のいずれかの条件を満たすこと。
- データサーバに保存すること。
- 移動可能機器（例：テープ、USBメモリ、CD-ROM、ノートPC）に保存する場合は、取扱いデータを暗号化し、使用後は復元不可能な方法で消去すること。また、移動可能機器及びバックアップした取扱いデータについて、「２－１．運用責任者が遵守すべきこと＜運用全般について＞５．」に記載の台帳に記録し、盗難や紛失の可能性を最小限にするとともに、当該事実が発生した場合の早期発見を可能にすること。
作業者は、やむを得ず一時的なデータ移動に移動可能機器を利用する場合も、バックアップデータと同様に取り扱うこと。
作業者は、やむを得ず取扱いデータを印刷する場合には、作業者以外の目に触れることがないよう印刷物を厳重に管理し、利用終了時にはシュレッダ処理すること。
作業者は、データの漏えい等セキュリティに関する事故が発生した場合、直ちに対策を実施するものとし、運用責任者に報告すること。

但し、上記９．～１２．については、「機関外サーバ」は対象外とする。

Ver.3.0改定における特記事項

文言の整理・明確化を行った。

Ver.2.0改定における特記事項

セキュリティ項目について見直しを行った上で、Ver.1.0の内容を明記した。また、データ利用者が利用できる計算機環境として、新たに導入した「機関外サーバ」の運用者向けの内容を追記した。