開発部門とPマーク
今回の記事で取り上げる「開発部門」とは特にIT関連の事業を展開する会社においてWebやアプリケーションなどのシステム開発を担当する部門を念頭に置いています。
開発部門はプログラミングを行ったりサーバシステムやネットワークの構築・更新・保守を行ったりと技術面で極めて高い専門性が求められるため、その分個人情報保護やセキュリティ面でプライバシーマーク(Pマーク)上要求されることも特殊です。
これからプライバシーマーク(Pマーク)取得会社において開発部門が特に留意すべき個人情報保護の注意点とは何かを考えてみましょう。
システムの開発・変更時にはセキュリティレベルが確保されるようにする
開発部門では新しいWebシステムを開発したり変更したりする際、常にシステム仕様書を作成してどのような仕様のシステムを構築するかを綿密に計画するはずです。
仕様を決める際は必ずセキュリティ面も考慮しなけれななりません。Webでユーザーの個人情報を取得する場合はSSL通信を実装するなどのセキュリティ対策は初歩的な部分ですが、そのほかにも必要な対策があればプライバシーマーク(Pマーク)取得会社として実行しなければなりません。
システム変更の際も、変更後のセキュリティが変更前と同等以上になるように設計すべきなのが原則です。システム変更に伴って公開されるべきでない個人情報などが閲覧可能な状況になっていたりしないかどうかも公開前にテストしておくべきです。
アクセス制御・パスワード管理を徹底する
開発部門はほかの従業員が操作できないようなシステムや情報にアクセスする権限が付与されることもあるでしょう。たいていそのような場合はID・パスワードが割り当てられ、その権限でシステムにログインすることになります。
このように開発部門では他部門よりもパスワード情報を使う機会が多い傾向にありますので、パスワードの管理を部門として徹底するなどの措置を講じなければなりません。
またシステムに許可されないアクセスがないかどうかも定期的にアクセスログをチェックするなどして点検しなければなりません。
会社が業務用として指定した機器や環境に関するルールを守る
プライバシーマーク(Pマーク)取得会社では社内のセキュリティを維持するために業務で利用するコンピュータや機器・アプリケーションソフト、ネットワーク環境が指定されることもあります。
開発部門の社員としてはどうしてもITに詳しいため自分好みの機器やソフトを利用したい気持ちもあるかもしれませんが、この点では会社のルールを守るようにしましょう。業務上どうしても指定外の機器などを使用する必要がある場合は、必ず承認を得てから使用するようにしてください。
まとめ
プライバシーマーク(Pマーク)における技術的安全管理措置を実践するうえで開発部門は非常に重要な役割を担っています。開発部門は自部門のミッションを遂行するにあたり個人情報保護やセキュリティ面での要求事項も満たすように努めましょう。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
