今回はPマーク(プライバシーマーク)取得や更新には欠かせないといっても過言ではないテーマでお送りさせて頂きます。
Pマーク(プライバシーマーク)において暗号化対策と聞いて思い浮かぶことはありますか?
Pマーク(プライバシーマーク)における暗号化とはSSL化対策をさすことが多いです。
では今回は、このSSLについてよくでる指摘事項と、対策等をお伝えいたします。
SSLとは??
Secure Socket Layerの略で、インターネット上で情報を暗号化して送受信できる仕組みのことです。
個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。
例えばクライアントPCとサーバ間のHTTPやFTPなどの通信において、クレジットカード情報の機密性の高いデータを、SSLにより暗号化して安全にやりとりできます。
なお、SSLでの暗号化は公開鍵暗号、秘密鍵暗号、デジタル署名、デジタル証明書の技術を組み合わせ実現します。
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)を利用してパソコンとサーバ間の通信データを暗号化することで、第三者によるデータの盗聴や改ざんなどを防ぐことができます。
SSLサーバ証明書が導入されているかどうか、ウェブサイトでパスワードやクレジットカード情報などを入力する前には必ず確認しましょう。
確認するポイントは大きく2つです。
1つめは、URLのところに「https」が記載されているかどうか!です。
SSL/TLSが導入されているウェブページでは、ブラウザのアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」になります。
2つめは、URLのところに鍵マーク、南京錠のマークがあるかどうか!です。
よくSSLが必要となる部分は企業ホームページのお問い合わせ入力フォームです!
自社で運用しているホームページの場合、お問い合わせ入力フォームや、会員登録、お申し込みの入力フォーム等、何か情報を入力フォームにて取得する場合、入力フォームがある場合は必ずこのSSL暗号化が必要なります。
現地審査ではどのくらいの確立でSSL化が指摘となるのか?
99%指摘事項としてでます。
逆にSSLを設定していないと審査にはいつまでたっても合格しない可能性があります。
たまに、審査員によっては、SSL設定までの計画を立て、残存リスクとして管理することで、審査が通ることもありますが、ほとんどこの事例はありません。
Pマーク(プライバシーマーク)新規取得時は特に見逃しやすいポイントでもありますが、ホームページをリニューアルした際や、新たにホームページを作成した場合には、忘れてしまうポイントでもあります。
「お問い合わせ入力フォーム等SSLによる通信経路の秘匿化がされていないものがある。」といった内容で指摘事項としてだされることが多いです。
どうせ審査で指摘になるのであれば、事前にチェックして導入しておくほうがよいかと思います。
審査で指摘されてから実施しても遅くはありません。企業の安全対策の一つとして導入してみてはいかがでしょうか。
その入力フォーム本当に必要ですか???
そんなSSLの設定をしようと検討している企業のご担当者様、、、、その前に、その入力フォーム本当に必要ですか???
当社でお手伝いさせているお客様では、ホームページにある入力フォームといえば、お問い合わせの入力フォームのみといったお客様も少なくありません。
そんなとき、私がご提案及びお聞きする内容が下記になります。
1.入力フォームから月何件くらいのお問い合わせがありますか?
2.そのお問い合わせから受注に繋がることはどのくらいありますか?
3.お問い合わせ入力フォームは本当に必要ですか?
実際ホームページ作成時に、他の企業でもよく見かけるし、入力フォームを設定している企業が多いから自社のホームページに入力フォームを設けているということが多いです。
毎月のお問い合わせもそんなにない、来たとしても営業のメールだったり、迷惑メールがほとんどだったり、受注につながることなんて本当にあるかないか、、、、、そんなお問い合わせフォームのために、ランニングコストのかかるSSLの設定をしますか?
Pマーク(プライバシーマーク)を取得、更新するためには、SSLのほかにも、入力フォームで取得する個人情報の同意文を掲載するなど、ホームページの修正が必要となります。
そこにお金をかける必要が本当にありますか?
入力フォームが不要の場合は、「電話とFAX、メールにてお問い合わせを受け付けます」としてしまえばよいのです。
「入力フォーム」があるから、SSLの設定や同意文の掲載が必要になるのです。入力フォームがなければ、そこにかかる費用も抑えることができます。
最後に
Pマーク(プライバシーマーク)を新規で取得しようとお考えの企業様、また、こういったSSLの設定でお困りの企業様がおりましたら、お気軽にご相談ください。
内部監査を実施してその課題を表に出して取り組んでいきましょう。
担当者レベルで決められない可能性もあります。
その場合は、代表者の見直し、マネジメントレビューなどで、代表の方と一緒になって課題解決をしていきましょう。
皆様にとってよりよい方法をご提案できればと思います。
そんなお手伝いをさせていただいております。ぜひ一度ご連絡をいただければと思います。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。