システム変更の際のPマーク上の注意点
プライバシーマーク(Pマーク)のガイドラインでは情報システムの中で個人情報を取り扱う場合に講じるべき対策についても規定されています。
ここでいう「情報システム」とはコンピュータを利用して情報を取得、保管、管理、伝達、更新したりするシステムのことで、プライバシーマーク(Pマーク)上ではとりわけネットワーク環境に置かれたシステムを指してこの言葉が使用されているようです。
情報システムを新規に開発する際にもセキュリティや個人情報保護に注意すべきことはもちろんですが、開発のときだけでなくシステムの仕様を変更するときにも同じ点は注意を要します。システム変更のタイミングでセキュリティ上の不備が生じ、その部分から情報漏えいや悪意ある攻撃の被害が生じる可能性も考えられますので、自社で何らかの情報システムを構築しているプライバシーマーク(Pマーク)はシステム変更におけるセキュリティの保持の対策を取っておかなければなりません。
これから取り上げる3つの点はシステム変更時の一般的な注意点となりますのでご確認いただければと思います。
変更前と同等以上のセキュリティが維持されていることを検証する
新規開発した段階でセキュリティの要件を満たしている情報システムでも、変更後にその要件が満たされなくなってしまえばプライバシーマーク(Pマーク)においても不適合に当たることとなってしまいます。
変更前後で同一のセキュリティ対策が施せる部分については同一のセキュリティ対策を引き継ぐようにしてください。
もしシステムを更新したことによって更新前のセキュリティ対策が継続できない場合は、それに替わるセキュリティ対策を講じてリスクを軽減するようにしましょう。
不要になったシステムが残っていないかを確認する
システム変更によってシステムに不要な部分が発生した場合は、そのシステムを無効にするとか削除するなどの対策を講じるのが望ましいでしょう。
不要なシステムが残存していることはプライバシーマーク(Pマーク)的にも好ましいことではありません。その部分のセキュリティを引き続き維持するための無駄な手間が必要になりますし、それがおろそかになるとそこから情報漏えいなど事故が発生しかねません。
情報が意図せずインターネットに公開されていないかを確認する
システムがネットワーク環境にある場合に特に注意すべきなのは、システム変更時に意図せず情報をインターネット上で取得・閲覧できる状態にしてしまうことです。アクセス権限管理を誤ったりすることによっても同じ事故が発生する可能性があります。
システム変更時は必ずテスト環境で許可されないアクセスが生じないかを検証し、その後に本番環境に移行するようにしましょう。
まとめ
情報システムの変更の際のプライバシーマーク(Pマーク)上の注意点を3つほどご紹介いたしました。システム変更によって情報システムや運用環境のセキュリティが損なわれないよう注意しましょう。
こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
