対象:ITコンサルティング
回答数: 4件
回答数: 5件
回答数: 6件
現在、BtoBとBtoCに向けた物販の事業をインターネットで行っています。店舗からECショップへと進出したばかりなので、必要なシステム関連のことをよく把握しておりません。複数の個人情報等も行うため、今後セキュリティーを強化したいと考えていますが、
・個人情報保護等をメインにセキュリティを考える際に気をつけなければならないこと
・BtoBとBtoCでは、注意する点がどう違うか
以上、2点についてご意見をいただければと思います。
※この質問は、ユーザーの方から事前にいただいたものを、専門家プロファイル が編集して掲載しています。
All About ProFileさん
回答:6件
システム面+αでセキュリティ対策を
お世話になっております。
「BtoBとBtoCに向けた物販」ということですが、B2B/Cの事業を行っている企業に向けた物販・または単に法人・個人の双方と取引のある物販事業の両方が考えられますが、顧客情報の管理につきましては、いずれも同様として以下に続きます。
まずは参考までに、個人情報保護法案の詳細及びガイドラインが、内閣府の個人情報保護トップページから参照できます。目的と対象、個人情報取扱業者の意味などが曖昧でしたら、ご参照をお勧めします。
では、第一のシステム関連のセキュリティー強化ですが、電子化された情報の閲覧権限・ECを構築しているNetwork環境・OS以下ソフトのバージョン管理に留意して下さい(字数上、具体策は割愛します)。これらは外部からのクラックや意図せぬ動作による情報の漏れなどへの対策です。
しかし、システム面で本当に大事なのは「運用面」=情報の管理に携わる「人」です。情報の流出はシステムに近い立場の人間が遠因となる場合があります。例えば、ノートPCに顧客情報をコピーして自宅作業する・自宅からVPNなどで基幹システムにアクセスできる等の運用では、事故の可能性が高くなります。出来れば、コーポレートガバナンス(内規)を定めて運用する方が良いかと存じます。日本のIT担当者はモラルが高いですが、海外では次のようなニュースも耳にしました。
“San Francisco Held Cyber-Hostage?...”
blog.wired.com/27bstroke6/2008/07/insider-tech-at.html ※英文
続いて第二の、法人と個人でセキュリティの注意点に差異があるかという点ですが、取引相手が個人・法人という取引先種別から、セキュリティ意識や実務の違いを導き出すことは、私は難しいと考えます。セキュリティ面におけるリスク評価は、取引先種別に係わらず等価であるように存じます。
--
コンサルティング業務 契約 CBSS
回答専門家
- 運営 事務局
- (東京都 / 編集部)
- 専門家プロファイル
登録している専門家やQ&Aやコラムといったコンテンツをご紹介
専門家プロファイルに登録をしている皆様の記事や、Q&A、まとめ記事など編集部でピックアップしたものを定期的に配信していきます。よろしくお願いいたします。
運営 事務局が提供する商品・サービス
記事制作に関するご相談
セキュリティは当たり前にできるレベルから着手を。
**まずはシステムとして適正か否か。
ビジネスとして行うものと、利用しようとしているシステム、あるいは構築・開発しようとしているシステムが適正かどうかを真っ当に進める必要があります。この段階で無理があったり、手抜きがあったり、課題認識を捨て去ったりしたら、セキュリティ対策などコストの無駄遣いにしかなりません。
**運用に無理や落ち度はないか。
システム開発後ではなく、開発中・検討中から並行して運用についても進めていく必要があります。多くのケース、運用には「人」の具体的な動きが絡んできます。その動きも含めて、全体として無理や落ち度がないようにしていく必要があります。
**まずは当たり前のレベルから。
開発・構築・運用の各フェーズにおいて、専門的なセキュリティの知識がなくとも、今の時代「当たり前の対策」は各ベンダーも提供できないといけない時代にあります。
・ネットワーク上、サーバ上、PC上のセキュリティ
・アプリケーション上のセキュリティ
・運用上のセキュリティ
それぞれにおいて、コストをかければ天井がなくなりますが、一連の開発〜運用の流れで常識的に組み込めるものを実施するだけで、飛躍的にセキュリティレベルはあがります。それが要件定義から設計、運用の中で、定義していけるベンダーさんとお付き合いされることが大事ですし、内容に不明点や不安点があれば、遠慮なく協議すべきです。
**すべてを実施することはできません。
個人情報保護ひとつとっても、あらゆる対策を施せるケースは稀(ほとんど皆無)です。多くの点が課題として残るのは当然のことです。その課題を将来的な解消に向けて、意識して計画立てて行くことが大事です。
コンプライアンスとかポリシーとか、Pマーク取得とかで、何か対策した気になるのは、とても危険で「課題がある」ことを「認識している」ということが重要です。
回答専門家
- 運営 事務局
- (東京都 / 編集部)
- 専門家プロファイル
登録している専門家やQ&Aやコラムといったコンテンツをご紹介
専門家プロファイルに登録をしている皆様の記事や、Q&A、まとめ記事など編集部でピックアップしたものを定期的に配信していきます。よろしくお願いいたします。
運営 事務局が提供する商品・サービス
記事制作に関するご相談
セキュリティはバランスを見て導入
セキュリティを高めるためには、いくつかの方向があります。
*システム(ソフト)構築側のセキュリティ
システムを構築する際には、セキュリティを意識した制作会社に依頼しましょう。
システムの組み方によって、セキュリティの強さはピンキリです。
せっかく社内コンプライアンスをしっかりしても、システムが攻撃されやすく作ってあれば意味がありません。
*サーバー(ハード)側のセキュリティ
サーバーを自社で管理するか、他に依頼するかで変わりますが、自社管理の場合、セキュリティを高めるにはかなりの覚悟がいります。現状では他に依頼する方が得策と言えるでしょう。
サーバー側で行える部分としてSSLなど一般的なものに関しては押さえておく事が必要になります。
*人的セキュリティ
他の専門家の方が詳しくおっしゃって下さっていますので、参考にしてください。
プライバシーマークを取得するのは、働いている方の意識を高める上では有効ですが、いろいろやりすぎてかえって社内の仕事を妨げる事のないように、調整、検討してください。
他の専門家の方もおっしゃっていますが、セキュリティは人的にも、費用的にも、全て万全という訳には行きません。
セキュリティを強めれば、費用もかかってしまいますし、使う側もお客さん側も使いにくくなってしまいます。
損益分岐点のように、どのレベルまで行うのかを検討する事が重要です。
ちなみにBtoBも、BtoCも何か起こった際のダメージは大きいため、どちらかを緩めることなく行うべきだと思います。
ご参考になれば幸いです。
有限会社カンマ・デザイン 樋口智美
回答専門家
- 運営 事務局
- (東京都 / 編集部)
- 専門家プロファイル
登録している専門家やQ&Aやコラムといったコンテンツをご紹介
専門家プロファイルに登録をしている皆様の記事や、Q&A、まとめ記事など編集部でピックアップしたものを定期的に配信していきます。よろしくお願いいたします。
運営 事務局が提供する商品・サービス
記事制作に関するご相談
BtoBとBtoCでも同じです。
BtoBとBtoCでも同じです。個人が相手だからです。JIS Q15001:2006では細かなチューニングがされています。全員が理解して、行動改善が必要ですが、以外と盲点が有ります。
会社の所在地により多少違います。例えば私の会社は渋谷区なので
東京都個人情報保護条例 平成19年10月1日施行
<東京都が保有する個人情報について>
実施機関に、都公安委員会(警視庁)を加える。職員及び受託業務従事者等に対する罰則規定を設ける。
<民間部門が保有する個人情報の保護について>
法の規律の対象外である事業者(個人情報データベースにある個人の数が5千人以下)に対しても、都は必要に応じて説明、資料提出を求め、助言、勧告等を行えることとし、、、
渋谷区個人情報保護条例 平成十八年四月一日第二十五条 この条例の規定による自己情報の開示、訂正、削除及び目的外利用等の中止に係る手数料は、無料とする。新しく罰則規定が変更された。
つまり個人情報データベースにある個人の数が5千人以下という事は一人でも問題が発生することです。
以下のサイトも見ておいてください。
http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/index.html
http://www.jsa.or.jp/
http://law.e-gov.go.jp/cgi-bin/idxsearch.cgi
http://www.meti.go.jp/policy/it_policy/privacy/
PDCAサイクルで水をも漏らさない所は会社相手でも個人相手でも同じです。
回答専門家
- 運営 事務局
- (東京都 / 編集部)
- 専門家プロファイル
登録している専門家やQ&Aやコラムといったコンテンツをご紹介
専門家プロファイルに登録をしている皆様の記事や、Q&A、まとめ記事など編集部でピックアップしたものを定期的に配信していきます。よろしくお願いいたします。
運営 事務局が提供する商品・サービス
記事制作に関するご相談
個人情報保護のためのセキュリテイ対策について
はじめまして、ひけしやの佐藤です。
まず個人情報保護についてですが、BtoBやBtoCといった事には、あまり関係ありません。
昔は個人情報は顧客情報と呼び、「会社の資産」という意識が社会の中では一般的でしたが、現在では「個人の資産」という考え方が一般的です。
また見落とされがちですが、個人情報保護という観点から言えば、従業員様の情報も個人情報に該当します。
以上の事から、個人情報保護の為のセキュリティ対策を考える際には、一度、会社総体として、個人情報保護にどの様に取組むべきかを検討された方が良いと思います。
会社全体の中に、どういった個人情報があるのか?
その個人情報はどういったものなのか?
どういった媒体で保管・管理をしているのか?
個人情報保護法や業界のガイドラインに沿った扱いをしているのか?
そういった観点からすると、今後セキュリティーを強化したいという時には、やはりプライバシーマークやISO27001の認証取得に取組むという事も選択肢の一つに入るのではないでしょうか。
、
プライバシーマークやISO27001の取組みでは、情報の機密性を向上させるだけではなく、その情報の正確性や、利便性の向上も検討に含まれます。
また会社の中で、どの様な個人情報があり、どういった使い方をされるのかが明確になりますし、業務効率の改善にもつながります。
とても大雑把なご案内となってしまいましたが、ご参考になれば幸いです。
何かございましたら遠慮なく、ご相談下さい。
ひけしやISOコンサルティングポータルサイト
回答専門家
- 運営 事務局
- (東京都 / 編集部)
- 専門家プロファイル
登録している専門家やQ&Aやコラムといったコンテンツをご紹介
専門家プロファイルに登録をしている皆様の記事や、Q&A、まとめ記事など編集部でピックアップしたものを定期的に配信していきます。よろしくお願いいたします。
運営 事務局が提供する商品・サービス
記事制作に関するご相談
岡本 興一
ITコンサルタント
-
人間系を検討しなくてはなりません
>個人情報保護等をメインにセキュリティを考える際に気をつけなければならないこと<
システムでできることは限られていますので、まずは、人間の業務に焦点を当てる必要があります。
社内のルールの明確化なくして、どんなシステムを入れてもセキュリティは守れません。
具体的には、
・取り扱っている個人情報の特定
・個人情報取扱ルールの策定
(ほとんどは、社内の業務マニュアルに含まれます)
・情報システムの整備
・従業員教育体制の構築
・それらのルール、仕組みの見直し体制の構築
等が必要となります。
逆に言えば、それだけのことを行わないと、個人情報を守る体制は作れないということです。
実際、上記を確実に構築できれば、「プライバシーマーク」も取得することができます。
「プライバシーマーク」の取得という目標、お手本を元に、個人情報保護体制を構築するのが、最も分かり易く、取り組みやすいという考え方があるからです。
>BtoBとBtoCでは、注意する点がどう違うか<
ケースバイケースですが、原則として同じです。
あえて言えば、BtoC で扱う個人情報は、BtoBで取り扱う会社担当者情報と比べて、センシティブになると言えます。
しかし、そのためにどれだけ、取扱のルール、システムに差がでるか?といわれると、意識的に変更することは少ないと思います。
ご参考なれば幸いです。
集客につながるホームページ
ネットとセキュリティ〜ウィジット株式会社
岡本興一
(現在のポイント:-pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング