情シス特化型メディア SYSZO

投稿日時 - 2012.09.18 10:52:41

ピースさん

BtoC事業での個人情報保護

こんにちは!

自分の会社ではないのですが、知合からざっくりと質問を受けたので、
投稿します。

要点としては個人情報保護ということなのですが、BtoCでビジネスを
している友人からの問合せでした。

BtoBとは違うのかと、勝手に考えていますが、どこまでやればいいのか
よくわからず・・・という状態です。

BtoCビジネスでの個人情報保護対策に関して経験のある方がおりましたら、
教えていただければと思います。
(抽象的な質問ですみません。)

さらっと聞いた環境は以下です。
・クライアントPC100台(ほぼノート、Win7)
 ※本社は常時30台程度、その他は在宅勤務や営業利用
・ワークグループ環境
・グループウェアはサイボウズ
・ファイルサーバはDropBox有償版、サイボウズファイル管理
・顧客管理、販売管理:Salesforce.com

個人的には、AD環境にして、USBやインストール権限と禁止したほうがいいのではと話したのですが、ユーザに不便になる、ということであまり乗り気ではありませんでした。

よろしくお願いいたします。

0
いいね
2012.09.18 16:15
HeliosRedsさん
まず、個人情報保護というものは情報システム『だけ』で語るものではないということを確認しましょう。また、個人情報の漏洩(機密性が損なわれること)だけ考えておけばいいというわけではなく、滅失(可用性が損なわれること)、き損(正確性が損なわれること)もリスクですので、それらを総合的に考える必要があるということも忘れないでおきましょう。

個人情報を取得した後の安全管理措置についてはBtoBだろうがBtoCだろうが大筋は変わらないと思います。取り扱いの各局面におけるリスクを分析し、必要な対策を講じる…が基本ですよね。

BtoCに特化して考慮しなければいけないことがあるとするなら、お客様の個人情報を「本人から直接書面により取得」するフェーズがあるのではないか、ということになると思います。個人情報保護についての規格である「JIS Q 15001:2006」には、この「本人から直接書面により取得」の際の要件が挙げられています(利用目的等を明示し、同意を求めること、など)。また、Webフォームなどからお客様に個人情報を入力してもらうようなシステムがあるなら、SSL関連の設定やSQLインジェクション、ディレクトリトラバーザル対策なども必要となってくるかもしれません。

もしまだ取得されていないようでしたら、プライバシーマーク取得を検討してみるようアドバイスされてみてはいかがでしょうか。漠然と対策を考えるのではなく、系統立てて「やるべきこと」を確認するきっかけにできるのではないかと思います。
0
いいね
2012.09.18 16:19
desatoさん
B2Cでしたら問題はお客の情報がどこに格納されていて、どこがどんな管理をしているかが重要でしょうね。
カスタマー情報(C情報)がしかるべくサーバにガッチリと入っているなら(その情報一覧を一般の社員が引き出して使うということがないなら)さほどB2Bと変わらないでしょう。
C情報がダダ漏れ状態だったらADだろうがUSB禁止だろうが意味を成しません。 特にC情報の一覧は徹底的にガードしてたとえ情シス員でも使えないようにすべきでしょう。 担当者はお客の情報を扱わないといけませんがそれも制限して「担当になったお客のみが照会できる」「打ち出された住所ラベルは商品に貼ってしまうので担当が(大量の)控えを持つことはできない」などシステム的な工夫以外は特別なことはないでしょう。というよりシステム的に工夫することでC情報に接する者を絞り込んでしまえば運用も楽になります。

> どこまでやればいいのか
は金次第なのでリスクとの天秤ですね。
0
いいね
コメントする

ログインしてからコメントできます

急上昇ワード

更新2017.05.27 11:36

SYSZO応援企業