fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマーク事業者がクラウドを使うときは その1【Pマーク取得の基礎知識】

プライバシーマーク(Pマーク)取得支援会社ユーピーエフの西山です。

 

 

プライバシーマーク(Pマーク)取得会社の多くが情報をやり取りしたり保管したりするためにクラウドサービスを利用しています。

 

クラウドサービスを利用するときのセキュリティー対策

クラウドサービスの利用にあたってセキュリティ対策を施すべきことは理解していても、「具体的に何に気をつければよいのかがわからない」と感じるPマーク担当者もいらっしゃいます。

そのような方に知っていただきたいのは、クラウドサービスのセキュリティ対策だからといって何か特殊で目新しいやり方があるわけではないということです。

クラウドにおいても普通のネット利用においても、あるいはそれ以外の業務上の活動においても、共通して必要なのはセキュリティの基本を実践することです。

それではクラウドサービスを利用する際にどのようにセキュリティの基本を応用できるか考えてみましょう。

 

信頼できるサービスを選ぶ

どんなセキュリティ対策であれ基本中の基本は初めからセキュリティ性の高いものを選ぶということです。クラウドサービスも例外ではありません。

目に見えないので意識しづらいのですが、クラウドを使うというのはデータをいわば“クラウド屋さんの倉庫”に預けるということなのです。

プライバシーマーク(Pマーク)では委託先を適正に選定することが求められていますが、それと同じようにクラウドサービスも適正に選ぶ必要があるわけです。

それで利用を始める前にはそのサービスの利用規約と個人情報保護方針を読むようにしてください。

システムの脆弱性にどのように対応しているか、通信の安全性をどのように確保しているか、サーバを設置している建物や設備の安全策をどのように講じているか、システム障害が生じたときの復旧体制はどうなっているのか。これらの点を確認するということです。プライバシーマーク(Pマーク)やISMSの認証を取っているかも確認したほうがよいのはもちろんです。

セキュリティに関する説明が明快で納得できるものであるかどうかは、信頼できるサービスを見極める判断基準の一つとなるでしょう。

 

パスワードを管理する

クラウドサービスでは本人確認のためIDとパスワードの入力が求められます。関係ない人が勝手にデータを見たり使ったりすることのないようにするためです。これはすなわちIDとパスワードが見破られた時点でいとも簡単に情報が流出してしまうということを意味します。

そこでクラウドサービスに設定するパスワードはネット環境にないシステムに設定するパスワードよりも強固であるようにしてください。強いパスワードとは、英語(大文字も小文字も)や数字を組み合わせた文字列、会社や社員自身から推測されにくい文字列、また辞書にある単語を使用しない文字列などです。

それから複数のサービスに同じIDとパスワードを使うのはやめましょう。一つのサービスで不正アクセスが生じたら他のサービスで利用しているデータにも危険が及びます。

加えてパスワードは定期的に変更するようにしてください。

 

まとめ

今回はここまでです。次回もクラウドサービス利用時の情報保護対策を記事にする予定です。

 

プライバシーマーク(Pマーク)に関するご相談はユーピーエフまで!
https://upfsecurity.co.jp/pmark/#contact_box

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る