MENU

ホームページ制作会社が取得するべき個人情報保護の認証とは

個人情報に関する認証機関をいくつ知っていますか?
2022年4月に改正個人情報保護法が施行されたことからプライバシーマークやISMSといった認証取得への取り組みをご存知の方も多いでしょう。

個人情報保護に取り組まなくてはいけないのはホームページ制作会社に限った話ではありませんが、今回はホームページ制作会社にとって最重要ポイントを押さえつつ認証の必要性や対策方法などをご紹介します。

目次

さまざまな情報保護の認証

プライバシーマークISMS (ISO27001)TRUSTe
対象全ての個人情報全ての情報資産Webサイト、アプリ
取得方法 プライバシーマーク制度に申請 認証期間に申請し認定審査を受ける自己査定書の作成
概算予算100万円~200万円~72,000~1,800,000円
認証までの期間6~9ヵ月4~6ヵ月2〜3ヵ月
適用規格・制度日本産業規格 JIS Q 15001:2017国際標準規格 ISO/IEC 27001:2013 日本産業規格 JIS Q 27001:2014NPO団体によるOECDの定めたルールに準拠した制度
更新2年ごと3年ごと 及び毎年継続審査3ヶ月ごと及び毎年継続審査

プライバシーマーク(Pマーク)

国内事業者が個人情報保護法に規定された義務を遵守するために必要な仕組みを適切に構築・運用していることを対外的にマークによって示す制度です。
保護対象となる情報は、個人情報保護法で定められた個人情報であり、対象となる組織は、同法の順守を対外表明する観点から事業者(法人単位)です。

情報セキュリティマネジメントシステム(ISMS)(ISO27001)

情報セキュリティマネジメントシステム(ISMS)とは、企業活動を展開するために、情報資産の漏洩・改ざん・盗難・破壊を防ぐルールを策定し、機密性、 完全性、可用性の3つの視点から管理する仕組みです。ISO27001は、BS7799-2をベースにISO化されたISMS規格であり、 JISQ27001としてJIS化されました。

TRUSTe(トラスト イー)

TRUSTeとは、Webサイトにおける個人情報の取り扱いの信頼性を証明する制度です。
対象のWebサイトが、OECD(経済協力開発機構)の定めたルールに準拠した体制で個人情報保護を実行できているかどうかを第三者機関が認証します。
TRUSTeが求める基準をクリアした企業には、認証取得の証として、TRUSTeのロゴマークをWeb上に掲載することが認められます。

個人情報保護に関する認証取得の必要性

昨今では単にホームページ制作業務だけに留まらず、顧客企業の利益改善におけるマーケティング業務をも請け負う制作会社も珍しくありません。
顧客企業にとっては、見た目も良く機能が充実した高品質なWebサイトを手に入れるために欠かせない存在であると言えます。

ホームページ制作側にとっては、採用ページやスタッフブログで社員の顔写真の掲載を依頼されるなど、個人情報を渡されるケースもあります。また、ホームページの構築ファイルを格納しているサーバーに関する情報(IDやパスワードなど)やメールアドレスも個人情報の一つと言えます。ほかに、会員登録機能やメルマガ配信機能を使うWebサイトの場合は、ホームページ保有者が個人情報取得者となりますが制作会社の目にも触れる場合があります。

それらを厳密に管理するための組織的な個人情報保護マネジメントシステムを構築するという体制を整備していることが第三者認証制度より認証されたということが、企業の信頼性の向上につながります。

個人情報保護に関する体制整備は社会からの要請でもありますが、中にはプライバシーマーク取得が取引先との取引条件になっている場合も少なくありません。
プライバシーマークは、その取得プロセスにおいて企業内でさまざまな対策を講じることが求められます。そして、研修などを通じた学習により、情報保護に対する意識も高まっていくことになります。それらの対策を行うプロセスを経た結果、インシデントの発生が抑制されるようになり、事業運営の安定感は増していきます。

ホームページ制作会社が起こしうる個人情報漏洩のリスク

個人情報漏洩のリスクは、ホームページ制作を依頼し実際に運用していく企業だけでなく、請け負う制作会社にも当然ながら発生します。

具体的なリスクは以下になります。

・設定ミス等で非公開情報がWeb上に掲載されることにより情報漏洩
・会員データ登録時の登録ミスによる情報漏洩
・メルマガの誤配信による氏名・住所の漏洩
・顧客から提供された資料の紛失
・システムの脆弱性などによるセキュリティ対策不足からくる不正アクセスからの情報漏洩

上記は一例ですが、実際にあった項目です。システムエラーばかりではなくヒューマンエラーが半数もあることが分かります。

日本ネットワークセキュリティ協会(JINSA)による「2018年 情報セキュリティインシデントに関する調査報告書」では、漏洩の二大原因は26.2%の「紛失・置忘れ」と24.6%の「誤操作」が挙げられ半分以上を占めています。その他のヒューマンエラーとして挙げられている12.2%の「管理ミス」と3.6%の「設定ミス」も含めると66.6%で全体の3分の2になり、発生している情報漏洩の多くがヒューマンエラーによるものであることが分かります。

セキュリティ関連の認証を取得し、セキュリティ体制も堅牢にしても、情報漏洩を防ぐのは、業務に関わる一人ひとりの「ミスしない」「不正な行為をしない」といった意識向上にほかなりません。

ホームページ制作会社が実施すべき情報漏洩の対応策

ホームページ制作会社の場合は共有すべき事柄や資料の性質のほか、責任範囲がインターネットの世界にあることから、顧客との関係性は特殊ですが、顧客企業と正確な情報を共有しあいながら対策を取る必要があります。

・管理しておく必要が無くなった個人データや写真等はすみやかに削除する
・個人情報へアクセス可能な人間を限定し、退職が決まれば権限を剥奪するなど管理方法を予め決めておく
・顧客企業との連絡体制を確立する
・Webサイトのぜい弱性情報を適宜チェックし、必要な対策を実施する

Web制作を依頼する企業には発注責任というものがあるため、顧客企業も依頼するWeb制作会社を真剣に選定しています。

制作物のクオリティや価格、納品までのスピードという観点はもちろんですが、顧客企業の重要な個人情報を預かるという意識を社内で共有し、個人情報の流出・漏えいリスクを無くしていきましょう。

リスク対策として習慣化!「クリアデスク・クリアスクリーン」

Pマークでは、個人情報を安全に取り扱うためにリスク対策の一環として、クリアデスク・クリアスクリーンの実施が求められています。

クリアデスクとは「机上に書類等を放置しないこと」です。
机の上が整理整頓され、クリアデスクがされているのであれば、個人情報が記載された書類や記録されたUSB等が誤って廃棄されることや紛失してしまうことの防止が期待されます。
また、個人情報を含む機密情報が記載されている書類等は、担当者が帰宅する際は、机の上ではなく、鍵付きキャビネット等担当者以外が書類に触れることのないようにするべきです。

クリアスクリーンとは「情報をスクリーン(PC画面)に残したまま離席しないこと」です。
PCを業務で取り扱う際、離席時はログオフや画面ロックを実施することで、作業中の画面を担当者以外の人が閲覧・利用することを防止します。
容易に推測されないパスワードの設定のほか、スクリーンセーバーの時間をごく短い時間で設定することも必要な取り組みになります。

まとめ

情報化社会において、データを活用することで顧客に対して利便性の高い商品やサービスを提供できる可能性が高まります。顧客ニーズに合った商品やサービスの提供にもつながります。いまや、データの活用度合いが企業の業績をも左右する重要なポイントになりつつある現実として、データは活用してこそ意味があり、情報保護の認証取得はそのためのプラットフォーム整備のきっかけとなりえます。

個人情報漏えいリスクを排除しつつも、個人情報を活用していくための体制構築は容易ではありません、プライバシーマークなどの認証を取得することがそれらの取り組みを後押しするのではないでしょうか。

認証取得のための整備が、社内における情報管理体制の改善ももたらします。情報管理の強化と維持する姿勢こそが、内部でのレベルアップだけではなく対外部においても取引関係を築く上でも非常に重要なものになってきます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

肩書:Webプログラマー兼Webライター
名前:ゆいちゃん
経歴:ライド株式会社ではコーポレートエンジニアとしてWebサイトの開発・保守・運用を行う。
   ホテルマン、総合商社で勤務していた経験から顧客との対話は大切にしている。
   IT系と育児系の情報収集が得意。
保有資格:ITパスポート
使用言語:HTML/CSS, PHP
好きな言葉:Done is better than perfect.

目次