西山

システム変更の際のPマーク上の注意点


 

プライバシーマーク(Pマーク)のガイドラインでは情報システムの中で個人情報を取り扱う場合に講じるべき対策についても規定されています。

ここでいう「情報システム」とはコンピュータを利用して情報を取得、保管、管理、伝達、更新したりするシステムのことで、プライバシーマーク(Pマーク)上ではとりわけネットワーク環境に置かれたシステムを指してこの言葉が使用されているようです。

情報システムを新規に開発する際にもセキュリティや個人情報保護に注意すべきことはもちろんですが、開発のときだけでなくシステムの仕様を変更するときにも同じ点は注意を要します。システム変更のタイミングでセキュリティ上の不備が生じ、その部分から情報漏えいや悪意ある攻撃の被害が生じる可能性も考えられますので、自社で何らかの情報システムを構築しているプライバシーマーク(Pマーク)はシステム変更におけるセキュリティの保持の対策を取っておかなければなりません。

これから取り上げる3つの点はシステム変更時の一般的な注意点となりますのでご確認いただければと思います。

 

変更前と同等以上のセキュリティが維持されていることを検証する

新規開発した段階でセキュリティの要件を満たしている情報システムでも、変更後にその要件が満たされなくなってしまえばプライバシーマーク(Pマーク)においても不適合に当たることとなってしまいます。

変更前後で同一のセキュリティ対策が施せる部分については同一のセキュリティ対策を引き継ぐようにしてください。

もしシステムを更新したことによって更新前のセキュリティ対策が継続できない場合は、それに替わるセキュリティ対策を講じてリスクを軽減するようにしましょう。

 

不要になったシステムが残っていないかを確認する

システム変更によってシステムに不要な部分が発生した場合は、そのシステムを無効にするとか削除するなどの対策を講じるのが望ましいでしょう。

不要なシステムが残存していることはプライバシーマーク(Pマーク)的にも好ましいことではありません。その部分のセキュリティを引き続き維持するための無駄な手間が必要になりますし、それがおろそかになるとそこから情報漏えいなど事故が発生しかねません。

 

情報が意図せずインターネットに公開されていないかを確認する

システムがネットワーク環境にある場合に特に注意すべきなのは、システム変更時に意図せず情報をインターネット上で取得・閲覧できる状態にしてしまうことです。アクセス権限管理を誤ったりすることによっても同じ事故が発生する可能性があります。

システム変更時は必ずテスト環境で許可されないアクセスが生じないかを検証し、その後に本番環境に移行するようにしましょう。

 

まとめ

情報システムの変更の際のプライバシーマーク(Pマーク)上の注意点を3つほどご紹介いたしました。システム変更によって情報システムや運用環境のセキュリティが損なわれないよう注意しましょう。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山