システム担当者です。会社のシステムのPマークに関してお教えください。
システム担当者であるため、弊社のシステムのPマークに関するところを任されました。
いくつかご質問させていただきますので、よろしくお願いします。
①個人所有のPC
従業員は、個人所有のPCを利用して作業をしております。
この場合、Pマーク取得にあたり、具体的にはどのような対策、運用方法が考えられるでしょうか?
②googleドライブなどのクラウドストレージ
すべてのドキュメントをgoogleドライブで共有・管理しております。
この場合、共有の設定の管理ができていれば問題が無いとの認識(つまり外部からの攻撃やアクセスが保証できている認識)でよろしいでしょうか。
③外部ネットワークからのアクセス
外部ネットワークからのアクセス(自宅、公共無線LAN、テザリング等)もありますが、この場合も、すべての情報へのアクセスは、googleドライブへのログイン、業務システムへのログイン等が必要で、クローズな状況になっております。
この場合、運用にあたりどのような対策等が考えられるでしょうか?
安全管理措置には、技術的安全管理措置のみで対応できることもあれば、組織的安全管理措置および人的安全管理措置、物理的安全管理措置、それぞれとの組合せによる措置が必要な場合があります。
例えば、PCで個人情報を扱う場合、個人情報をPC内に保存しているのか、それをPCは外部に持ち出すことがあるのか、また外部から個人情報にアクセスできるのか等、色々な場面を考慮に入れる必要があります。
ウイルス対策やソフトウェアの管理もそうですが、PC自体の管理や仮に個人情報が漏えいした際のトレーサビリティへの考慮に入れた対策等も必要かもしれません。
また、組織全体で考えると、PCで個人情報を扱うルール(PC自体のパスワード設定や個人情報を外部に持ち出す際の手続や暗号化等)、それに対する教育なども考えられます。
どのような対策が必要かは、リスクアセスメント(リスクの特定、分析、評価)を実施後、その結果を考慮して決定されることになります。
よって、どのような対策が必要かは、一概に回答することが困難となります。
個人情報保護委員会より「個人情報の保護に関する法律についてのガイドライン(通則編)」(https://www.ppc.go.jp/files/pdf/guidelines01.pdf)が出ています。
こちらのP93「8-5 物理的安全管理措置」とP96「8-6 技術的安全管理措置」が参考になるかと思いますので、よろしければご参考ください。
あと、インターネット上に参考になると思われるサイトもございます。
以下に、一部ですがご紹介させていただきます。
ご参考ください。
①「個人所有のPC」について
BYOD(Bring your own device)という業務形態に該当します。
(参考URL)
https://www.kantei.go.jp/jp/singi/it2/cio/hosakan/wg_report/byod.pdf
②「googleドライブなどのクラウドストレージ」について
googleドライブ自体のセキュリティはある程度整備されているかと思います。
あとはgoogleドライブ側でのセキュリティ設定内容や運用ルールなどが重要になるかと思います。
(参考URL)
https://www.ipa.go.jp/files/000011594.pdf
https://support.google.com/drive/answer/141702?co=GENIE.Platform%3DDesktop&hl=ja
③「外部ネットワークからのアクセス」について
基本googleドライブ側でのセキュリティ設定だと思いますが、フリーWi-Fiの使用は制限する必要があるかと思います。
(参考URL)
https://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2016/201610.html
④「テレワーク」について
ご質問の内容からして、一部、テレワークが該当しているように思われます。
そこでは各自のセキュリティレベル(安全管理処置)の統一が重要だと思います。
(参考URL)
http://www.soumu.go.jp/main_content/000215331.pdf
