GitHubを個人利用するエンジニアは、PマークやISMSの「委託先評価」が必要ですか?
社として利用を認可したコミュニケーションツールでSlackなど有料無用にかかわらず、委託先管理の一環として、管理者名・利用者数の把握とともにホームページで規約やプライバシーポリシーの定期印刷により審査管理しています。
一方でエンジニアが個人がgithubなどのソーシャルネットワークを利用している場合、委託先としての認証は必要でしょうか。
他の従業者との共有利用はしていないため、従業者の個人情報取り扱いはないものと認識しています。
ただそのソーシャルネットワークよりダウンロード利用を希望するソフトウエアは別途、資料申請強化とIT資産管理として利用者の紐づけは行うべきと考えています。
エンジニアによるGitHub等の外部サービス利用が「委託先管理」の対象となるかについて、ISMSとPマークそれぞれの観点から回答申し上げます。
結論から申し上げますと、ISMSでは「情報資産の保護」の観点から管理対象となりますが、Pマークでは「個人情報の有無」により判断が分かれます。
まず、ポイントは、ISMSとPMS(プライマシーマーク)の守備範囲の違いで、個人情報を取り扱っているか否かになります。
ISMSであれば、個人情報の取扱いに関係なく委託先としての認証は必要となりますし、PMSであれば、個人情報の取扱が無ければ委託先としての認証は必要ありません。
1. ISMS(JIS Q 27001)の観点
ISMSにおいて、業務でGitHub等のサービス(ソースコードや技術資料を扱う外部サービス)の利用は、たとえ無料版や個人アカウントであっても「外部供給者の管理」対象となります。
- サプライヤー管理:
ソースコードは重要な資産です。これらを保存・処理する環境の提供元は、情報セキュリティに影響を与える「委託先」とみなされます。 - クラウド利用の管理:
最新の規格(A.5.23)では、クラウドサービス利用に関する方針策定が求められており、GitHub等の利用ルールを定義し、管理下に置く必要があります。
過去に発生したGitHub経由のシークレット情報漏えい事案などを踏まえ、規約やセキュリティ設定の確認が求められます。
2. プライバシーマーク(JIS Q 15001)の観点
Pマークでは、サービス提供元に「個人情報の取扱い」を委託しているかどうかが鍵となります。
- 委託先監督の要否:
顧客や従業員の個人情報をシステム上で扱わないのであれば、Pマーク上の厳格な委託先管理(J.8.10)は必須ではありません。 - 安全管理措置:
ただし、業務で使用する以上、情報漏えい防止の観点から「どのサービスを誰が使っているか」を把握しておくことは、一般的な安全管理措置(私的利用の制限等)として求められます。
3. 実務運用のアドバイス
お客様が検討されている「利用者の紐づけ(IT資産管理)」は非常に適切な対応です。ISMS審査を考慮する場合、以下の手順を補足することをお勧めします。
- 規約の定期確認:
Slack等と同様に、GitHubのプライバシーポリシーを定期的に確認し、評価記録として残す。 - 利用範囲の限定:
「機密性の高いコードは非公開(Private)リポジトリに限定する」といった運用ルールをマニュアルに明記する。
過去にはGitHubへの誤った情報公開による重大な漏えい事故も発生しています。形式的な委託先管理だけでなく、従業員教育を通じて「外部サービスの安全な使い方」を周知することも併せてご検討ください。
ソーシャルネットワーキングサービス等の外部サービスを利用(委託先とする)場合に関しては、以下のサポートブログ(URL)にある過去の質問も、ご参考ください。
ちなみに、ISMSであれば、①取引先の審査 → ②取引時の審査(申請)→ ③取引したモノ(資産)の管理 といった流れを考えた場合、ご質問者の考えであれば、先の ①(委託先管理)が省略されることになるため、「ダウンロード利用を希望する」際に、委託先(先の①)管理を行うといった手順を追加する等の対応が必要になる場合もあるかと思います。
以上、ご参考ください。
