Pマーク事業者がクラウドを使うときは その1【Ｐマーク取得の基礎知識】

プライバシーマーク（Pマーク）取得支援会社ユーピーエフの西山です。

プライバシーマーク（Pマーク）取得会社の多くが情報をやり取りしたり保管したりするためにクラウドサービスを利用しています。

クラウドサービスを利用するときのセキュリティー対策

クラウドサービスの利用にあたってセキュリティ対策を施すべきことは理解していても、「具体的に何に気をつければよいのかがわからない」と感じるPマーク担当者もいらっしゃいます。

そのような方に知っていただきたいのは、クラウドサービスのセキュリティ対策だからといって何か特殊で目新しいやり方があるわけではないということです。

クラウドにおいても普通のネット利用においても、あるいはそれ以外の業務上の活動においても、共通して必要なのはセキュリティの基本を実践することです。

それではクラウドサービスを利用する際にどのようにセキュリティの基本を応用できるか考えてみましょう。

信頼できるサービスを選ぶ

どんなセキュリティ対策であれ基本中の基本は初めからセキュリティ性の高いものを選ぶということです。クラウドサービスも例外ではありません。

目に見えないので意識しづらいのですが、クラウドを使うというのはデータをいわば“クラウド屋さんの倉庫”に預けるということなのです。

プライバシーマーク（Pマーク）では委託先を適正に選定することが求められていますが、それと同じようにクラウドサービスも適正に選ぶ必要があるわけです。

それで利用を始める前にはそのサービスの利用規約と個人情報保護方針を読むようにしてください。

システムの脆弱性にどのように対応しているか、通信の安全性をどのように確保しているか、サーバを設置している建物や設備の安全策をどのように講じているか、システム障害が生じたときの復旧体制はどうなっているのか。これらの点を確認するということです。プライバシーマーク（Pマーク）やISMSの認証を取っているかも確認したほうがよいのはもちろんです。

セキュリティに関する説明が明快で納得できるものであるかどうかは、信頼できるサービスを見極める判断基準の一つとなるでしょう。

パスワードを管理する

クラウドサービスでは本人確認のためIDとパスワードの入力が求められます。関係ない人が勝手にデータを見たり使ったりすることのないようにするためです。これはすなわちIDとパスワードが見破られた時点でいとも簡単に情報が流出してしまうということを意味します。

そこでクラウドサービスに設定するパスワードはネット環境にないシステムに設定するパスワードよりも強固であるようにしてください。強いパスワードとは、英語（大文字も小文字も）や数字を組み合わせた文字列、会社や社員自身から推測されにくい文字列、また辞書にある単語を使用しない文字列などです。

それから複数のサービスに同じIDとパスワードを使うのはやめましょう。一つのサービスで不正アクセスが生じたら他のサービスで利用しているデータにも危険が及びます。

加えてパスワードは定期的に変更するようにしてください。

まとめ

今回はここまでです。次回もクラウドサービス利用時の情報保護対策を記事にする予定です。

プライバシーマーク（Pマーク）に関するご相談はユーピーエフまで！
https://upfsecurity.co.jp/pmark/#contact_box

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】