セキュリティ認証を取得しても、やるのは人

公開日:2014/02/24

この記事は、書かれてから 7 年以上経過しており、内容が古い可能性があります。

ある程度の規模のシステム開発会社では
ほとんど、情報セキュリティ規格の認証を取得しています。

しかし、最近ちらほらと、
これらの認証運用の形骸化を耳にするようになりました。


最近はあまり聞きませんが
一時、個人情報漏洩が頻繁にニュースになっていました。

その頃と前後して、セキュリティ規格の認証を取得する
システム会社が増えました。

その理由のひとつは、
「取引先が認証取得を望むから」というものでした。


最近耳にした形骸化の例ですが、
たとえば以下のようなものがあります。

規定1「社員が使うiPhoneには
社内で規定されたアプリしかインストールできない」

iPhone=電話といっても、内実はコンピュータそのものですから
正体不明のアプリを介して、情報漏洩してしまうのを防ぐ規定です。

ただ内実は、社員がどうしても使いたい、と言えば
決定者の裁量でインストールしてもよいようにしている
という会社もあるそうです。

規定2「お客さまの本稼働中システムのデータは
お客さまで個人情報をマスキングしてもらう」

マスキングとは、マスクをかけること、
すなわち、個人情報は伏せ字にする、という意味です。

システム開発会社では、伏せ字情報のみ扱うから、
個人情報の漏洩は起こりえない、ということです。

ただ、マスキングは手間なので、お客さまがやりたがらず
結局マスキングの作業はうやむやになりがちのようです。

規定3「GoogleやDropBoxなど、クラウドサービスの利用は不可」

クラウドサービスを利用すると、
簡単に社内の秘密情報を社外に送ることが可能です。
これを防ぐために、便利なクラウドサービスの利用を認めないそうです。

これは仕方ないことなのかもしれませんが、
こういったことをすることで、システム開発会社の社員が
最新のサービス、最新のU/I(使い勝手)から遠ざけられてしまう
という問題点があると感じています。


完全な規定を作っても、運用するのは人間ですから、
最終的には、社員の性善説に依存せざるをえないのだと思います。

しかしもし性善説に依存するのであれば、
もう少し規定を緩めてもよいのかもしれない、という気もします。

このページの著者

イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。

  1. 中小企業さま向けの社内向け営業支援、顧客管理、経営数値管理システム

    経営数値をリアルタイムで見える化し、目標達成度を常に把握することができ、顧客へのフォローもスムースになります

  2. 中小企業さま向けの受発注管理、請求入金管理、在庫管理

    御社特有の受発注業務、出荷処理をシステム化することで業容拡大への大きなお手伝いとなります

  3. 医療業界向けの業務改善システム

    ※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「 ムジンワリ 」をご提供しております。

  4. IoTシステムの開発

詳しくは ご提供サービス を参照してください。

お読みいただきありがとうございました

社内システムとe飛電を連携させる方法

入金管理業務をシステム化するときに必要なこと

こちらもおすすめ

システム化の相談はしてみたけれど...

中小企業のシステム導入に心強い補助金

お客様とのつながりを点数化し分析する

お客様との接点を記録することのメリット

顧客管理システムの目的は名簿作成ではない

顧客との接点を増やし売上をあげるシステム

お客様とのやりとりの記録のススメ

遠くのシステム会社が安い金額の提案をしてきたら?

システム会社に社内システムの保守を依頼するには

社内システムはできたあと、利用期間のほうが長い