暗号化とPマーク
プライバシーマーク(Pマーク)取得制度とは個人情報の適切な保護を実施している事業者を認証する制度ですが、個人情報保護を運用する上では人的対策や物理的対策のみならずセキュリティ技術を駆使した技術的な対策を施していくことも必要です。
「暗号化」も技術的対策の一つですが、プライバシーマーク(Pマーク)を運用していく上では具体的にどのような場面で暗号化技術の利用を検討する必要があるのでしょうか。
プライバシーマーク(Pマーク)取得の規格書に準じたガイドラインを参照しながら考えてみましょう。
ネットワークで個人情報を送受信するときに
例えば自社が運営するWebサイトにユーザーが登録を行うために個人情報を入力する画面があるとしましょう。
入力された個人情報はインターネットという公開されたネットワークを通して通信されることとなりますが、公開されているということは第三者から盗聴される可能性もあるということです。
そこでプライバシーマーク(Pマーク)取得会社はそのようなアクセスを防止するためにSSLなどの措置をとって通信を暗号化しなければなりません。なおSSL通信を実施している場合はcookieも暗号化しているかを確認しましょう。
電子メールで個人情報を送受信するときに
個人情報を含むデータをメールに添付して送信することもあるでしょう。この場合も暗号化やパスワードを設定するなどの措置を講じるべきです。
外部記憶媒体を社外へ持ち出すときに
外部記憶媒体とはUSBメモリなど取り外して持ち運ぶことのできる記憶媒体のことですが、これらは持ち運びができるため紛失した場合のリスクも高く、そのためにアクセス制限などの措置を講じておくことが求められます。
この場合も持ち運びに利用する業務用USBメモリは必ず暗号化するなど、プライバシーマーク(Pマーク)取得会社としてのルールを設けておくことができます。
バックアップするときに
個人情報を含む電子データはデータ消失などの危機に備えてバックアップしておくのが賢明です。
見落としがちですがバックアップデータも通常のデータと同じ様に情報漏えいのリスクから保護しなければなりません。そのためバックアップデータに対しても暗号化などの秘匿化の措置を講じることが求められています。
パスワードを記録するときに
プライバシーマーク(Pマーク)取得会社は個人情報を含むファイルを保管する際にパスワードを設定し定期的に更新しなければなりませんが、パスワードを何らかの目的で記録する際は平文で記録しないことが原則です。平文で記録しないとはつまり暗号化するなどの方法を取るということです。
サーバのデータベースに保管されるユーザーのパスワードについても原則として暗号化すべきです。
まとめ
もちろんありとあらゆる個人情報を保管したり移送したりする場合に必ずデータや通信を暗号化すべきというわけではありません。必要なのは個人情報のリスクや重要度の度合いを考慮して暗号化などの措置を取るかどうかを決定することです。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
