暗号化とPマーク
プライバシーマーク(Pマーク)(Pマーク)取得制度とは個人情報の適切な保護を実施している事業者を認証する制度ですが、個人情報保護を運用する上では人的対策や物理的対策のみならずセキュリティ技術を駆使した技術的な対策を施していくことも必要です。
「暗号化」も技術的対策の一つですが、プライバシーマーク(Pマーク)を運用していく上では具体的にどのような場面で暗号化技術の利用を検討する必要があるのでしょうか。
プライバシーマーク(Pマーク)取得の規格書に準じたガイドラインを参照しながら考えてみましょう。
ネットワークで個人情報を送受信するときに
例えば自社が運営するWebサイトにユーザーが登録を行うために個人情報を入力する画面があるとしましょう。
入力された個人情報はインターネットという公開されたネットワークを通して通信されることとなりますが、公開されているということは第三者から盗聴される可能性もあるということです。
そこでプライバシーマーク(Pマーク)取得会社はそのようなアクセスを防止するためにSSLなどの措置をとって通信を暗号化しなければなりません。なおSSL通信を実施している場合はcookieも暗号化しているかを確認しましょう。
電子メールで個人情報を送受信するときに
個人情報を含むデータをメールに添付して送信することもあるでしょう。この場合も暗号化やパスワードを設定するなどの措置を講じるべきです。
外部記憶媒体を社外へ持ち出すときに
外部記憶媒体とはUSBメモリなど取り外して持ち運ぶことのできる記憶媒体のことですが、これらは持ち運びができるため紛失した場合のリスクも高く、そのためにアクセス制限などの措置を講じておくことが求められます。
この場合も持ち運びに利用する業務用USBメモリは必ず暗号化するなど、プライバシーマーク(Pマーク)取得会社としてのルールを設けておくことができます。
バックアップするときに
個人情報を含む電子データはデータ消失などの危機に備えてバックアップしておくのが賢明です。
見落としがちですがバックアップデータも通常のデータと同じ様に情報漏えいのリスクから保護しなければなりません。そのためバックアップデータに対しても暗号化などの秘匿化の措置を講じることが求められています。
パスワードを記録するときに
プライバシーマーク(Pマーク)取得会社は個人情報を含むファイルを保管する際にパスワードを設定し定期的に更新しなければなりませんが、パスワードを何らかの目的で記録する際は平文で記録しないことが原則です。平文で記録しないとはつまり暗号化するなどの方法を取るということです。
サーバのデータベースに保管されるユーザーのパスワードについても原則として暗号化すべきです。
まとめ
もちろんありとあらゆる個人情報を保管したり移送したりする場合に必ずデータや通信を暗号化すべきというわけではありません。必要なのは個人情報のリスクや重要度の度合いを考慮して暗号化などの措置を取るかどうかを決定することです。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]
