開発部門とPマーク

今回の記事で取り上げる「開発部門」とは特にIT関連の事業を展開する会社においてWebやアプリケーションなどのシステム開発を担当する部門を念頭に置いています。
開発部門はプログラミングを行ったりサーバシステムやネットワークの構築・更新・保守を行ったりと技術面で極めて高い専門性が求められるため、その分個人情報保護やセキュリティ面でプライバシーマーク(Pマーク)上要求されることも特殊です。
これからプライバシーマーク(Pマーク)取得会社において開発部門が特に留意すべき個人情報保護の注意点とは何かを考えてみましょう。
システムの開発・変更時にはセキュリティレベルが確保されるようにする
開発部門では新しいWebシステムを開発したり変更したりする際、常にシステム仕様書を作成してどのような仕様のシステムを構築するかを綿密に計画するはずです。
仕様を決める際は必ずセキュリティ面も考慮しなけれななりません。Webでユーザーの個人情報を取得する場合はSSL通信を実装するなどのセキュリティ対策は初歩的な部分ですが、そのほかにも必要な対策があればプライバシーマーク(Pマーク)取得会社として実行しなければなりません。
システム変更の際も、変更後のセキュリティが変更前と同等以上になるように設計すべきなのが原則です。システム変更に伴って公開されるべきでない個人情報などが閲覧可能な状況になっていたりしないかどうかも公開前にテストしておくべきです。
アクセス制御・パスワード管理を徹底する
開発部門はほかの従業員が操作できないようなシステムや情報にアクセスする権限が付与されることもあるでしょう。たいていそのような場合はID・パスワードが割り当てられ、その権限でシステムにログインすることになります。
このように開発部門では他部門よりもパスワード情報を使う機会が多い傾向にありますので、パスワードの管理を部門として徹底するなどの措置を講じなければなりません。
またシステムに許可されないアクセスがないかどうかも定期的にアクセスログをチェックするなどして点検しなければなりません。
会社が業務用として指定した機器や環境に関するルールを守る
プライバシーマーク(Pマーク)取得会社では社内のセキュリティを維持するために業務で利用するコンピュータや機器・アプリケーションソフト、ネットワーク環境が指定されることもあります。
開発部門の社員としてはどうしてもITに詳しいため自分好みの機器やソフトを利用したい気持ちもあるかもしれませんが、この点では会社のルールを守るようにしましょう。業務上どうしても指定外の機器などを使用する必要がある場合は、必ず承認を得てから使用するようにしてください。
まとめ
プライバシーマーク(Pマーク)(Pマーク)における技術的安全管理措置を実践するうえで開発部門は非常に重要な役割を担っています。開発部門は自部門のミッションを遂行するにあたり個人情報保護やセキュリティ面での要求事項も満たすように努めましょう。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]