システム担当者です。会社のシステムのPマークに関してお教えください。
システム担当者であるため、弊社のシステムのPマークに関するところを任されました。
いくつかご質問させていただきますので、よろしくお願いします。
①個人所有のPC
従業員は、個人所有のPCを利用して作業をしております。
この場合、Pマーク取得にあたり、具体的にはどのような対策、運用方法が考えられるでしょうか?
②googleドライブなどのクラウドストレージ
すべてのドキュメントをgoogleドライブで共有・管理しております。
この場合、共有の設定の管理ができていれば問題が無いとの認識(つまり外部からの攻撃やアクセスが保証できている認識)でよろしいでしょうか。
③外部ネットワークからのアクセス
外部ネットワークからのアクセス(自宅、公共無線LAN、テザリング等)もありますが、この場合も、すべての情報へのアクセスは、googleドライブへのログイン、業務システムへのログイン等が必要で、クローズな状況になっております。
この場合、運用にあたりどのような対策等が考えられるでしょうか?
「個人所有PC」及び「googleドライブなどのクラウドストレージ」、「外部ネットワークからのアクセス」などに対する対策は、通常、それぞれにおいてどのようなリスクがあり、そのリスクに対してどのような方法が有効かを分析、評価し決定することになります。
このような対策を安全管理措置といいます。
1. 安全管理措置とは
安全管理措置には、アクセス制限など(技術的安全管理措置)で対応できることもあれば、組織の決め事(組織的安全管理措置)として行うこと、社員への教育など(人的安全管理措置)や物理的障壁などの設定(物理的安全管理措置)が必要な場合があります。また、それぞれとの組合せによる措置が必要な場合があります。
例えば、「①個人所有のPC」でいえば、以下のようなことを考慮する必要があります。
- PCで個人情報を扱う場合、個人情報をPC内に保存しているのか、それをPCは外部に持ち出すことがあるのか、また外部から個人情報にアクセスできるのか等、色々な場面を考慮に入れて対策を講じる必要があるかもしれません。
- ウイルス対策やソフトウェアの管理もそうですが、PC自体の管理や仮に個人情報が漏えいした際のトレーサビリティへの考慮に入れた対策等も必要かもしれません。
- 組織全体で考えると、PCで個人情報を扱うルール(PC自体のパスワード設定や個人情報を外部に持ち出す際の手続や暗号化等)、それに対する教育なども考えられます。
プライバシーマークでは、どのような対策が必要かを「リスクアセスメント(リスクの特定、分析、評価)」を実施して、その結果を考慮して決定されることになります。
どのような対策が必要かは、組織の実情(すでに何らかの対策をとっている、または個人情報を持ち出せないようにしているなど)により異なってくるため、一概にこのようにすれば良いといった的確な回答することが困難となります。
どのような対策がすれば良いかといった指針としては、個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通則編)」がご参考になるかと思います。
このガイドラインの「10 (別添)講ずべき安全管理措置の内容」に「組織的安全管理措置」及び「人的安全管理措置」、「物理的安全仮措置」、「技術的安全管理措置」があり、措置の手法の例示などが掲載されています。
2.「① 個人所有のPC」について
一概に、どのような対策を講じれば良いかを回答するのは難しいですが、例えば、「個人所有のPC」を使う際の対策の例としては、以下のようなものがあります。
ご参考ください。
- 物理的・技術的な安全管理措置
- 業務データの持ち方ルール(データを持ち出さない。持ち出す際は暗号化するなど。)。
- ウイルス対策ソフトの導入と更新(指定のセキュリティソフトの導入など。)
- OSアップデートの強制(サポート切れOSの使用を禁止など。)
- 運用のルール化(規程の整備)
- BYOD利用申請・許可制(誰がどのPCを使うのか組織が把握する)
- 誓約書の提出(守秘義務や紛失時の報告。第三者に操作させないなど。)
- パスワード・生体認証の設定
- 点検と監査(モニタリング)
- 自己点検(セルフチェックを行い、結果を報告させるなど。)
- 抜き打ち(または定期)監査
3.「② googleドライブなどのクラウドストレージ」について
「共有設定の管理ができていること」は非常に重要ですが、外部からの攻撃や不正アクセスへの対策として、以下のような運用ルールなどもご検討ください。
- 「誰がアクセスできるか」の管理
- 多要素認証(MFA)の導入
- 端末制限(許可されたデバイス以外からのアクセスをブロックしているなど。)
- 「中身をどう守るか」の管理
- ダウンロード禁止設定(閲覧はできるが、ローカルへのダウンロードを禁止する設定など。)
- アクセスログの確認(「誰が・いつ・どのファイルにアクセスしたか」のログを定期的に確認など。)
- 退職者のアカウント削除
4.「③ 外部ネットワークからのアクセス」について
「すべての情報へのアクセスにログインが必要で、クローズな状況である」という対応がなされているので問題ないかと思いますが、外部ネットワーク(自宅、公共Wi-Fi、テザリング)から個人所有PCでアクセスするという条件下では、ログイン機能だけでは防げないリスクも残るかと思います。
以下のような点も、安全を確保するために追加することもご検討ください。
- ネットワーク経路の安全確保
- 公共無線LAN(フリーWi-Fi)の利用禁止または制限
- SSL/TLS通信の確認
- 「エンドポイント(PC本体)」での漏洩防止
- 画面の「のぞき見」対策(物理的安全管理)
- ブラウザのキャッシュ・パスワード保存の管理
- 自動タイムアウトの設定
- 運用の「証跡」を残す
- 利用場所の事前申請
- アクセスログの定期チェック
5. テレワークについて
ご質問の内容から、一部、テレワークに該当するよう事項があるかと思います。
以下のようなテレワークに関するガイドラインもございます。
ご参考ください。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
