- 締切済み
プライバシーマーク取得された方へ質問
プライバシーマークをすでに取得されて運用していらっしゃる方にお聞きしたいです。 もちろん社内にコンピュータはあると思うのですが、不正アクセスの管理って具体的にどうされています? 規程に書く分には、「定期的にアクセスログをチェックし、不正アクセスがないかチェックする」と書けますが、 実際のところどこにアクセスログがあるか、またはアクセスログの見方をちゃんと分かっている人が社内にいることなど中小企業の場合、ほとんど無いと思うんです。 私に考えられるのは、 ・投資しなくてもアクセスログを見る方法、または全部でなくても不正に気づける見張り方がある ・ログ管理の徹底がなくともプライバシーマークに反さない言い方?逃げ道?がある ・効率良くログチェックするツールまたはシステムがあり必要経費ということで導入している ・代行してくれる業者などに任せている なのですが、実際どうなのか知りたいんです。 差し支えない程度に経験談など聞かせていただけると助かります。
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- LEG147
- ベストアンサー率60% (31/51)
こんにちは。 Pマークの導入大変だとは思いますが、頑張って下さい。 少々冷たいアドバイスになってしまいますが、貴社のPマークの取得目的は、どのようなことなのでしょうか。 Pマークの趣旨は、「個人情報の取扱に関して適切な保護処置を講じていることを認めた」企業を認定するものですから、趣旨に則ってお客様の情報を扱う上で、逃げ道的な運用は絶対に行ってはいけないものと思います。 確かに、Pマークを取得していないことで、企業競争に負ける可能性(契約条件に記載されることもある)もあり、取得自体が目的化しているケースもありますが、やはり本来の趣旨に則って運用して頂きたいものです。 実運用に関してですが、「不正アクセス」対策については、大きく2つの施策があると考えます。 (1)外部からの不正アクセス防止 →HP等のセキュリティー強化は、ファイヤーフォールの設定強化やセキュリティーホール対策などがあり、定期的に第三者機関からの不正アクセスチェック等の実施があると思います。 (2)内部からの不正アクセス防止 →顧客情報ファイル(DB)等のアクセスログ管理 この方法は、何らかのツール導入が不可欠ではないでしょうか。 投資に対する費用対効果が説明しずらい案件ではありますが、「もし個人情報がもれた」場合のコスト(会社存続すら危ないが)は、謝罪広告から賠償責任等すぐ天文学的数字になりますので、その対策としての投資はやむを得ないものではないでしょうか。 辛口アドバイスで申し訳ありませんが、導入頑張って下さい。
