2019年8月6日
今回はPマーク(プライバシーマーク)取得や更新には欠かせないといっても過言ではないテーマでお送りさせて頂きます。
Pマーク(プライバシーマーク)において暗号化対策と聞いて思い浮かぶことはありますか?
Pマーク(プライバシーマーク)における暗号化とはSSL化対策をさすことが多いです。
では今回は、このSSLについてよくでる指摘事項と、対策等をお伝えいたします。
SSLとは??
Secure Socket Layerの略で、インターネット上で情報を暗号化して送受信できる仕組みのことです。
個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。
例えばクライアントPCとサーバ間のHTTPやFTPなどの通信において、クレジットカード情報の機密性の高いデータを、SSLにより暗号化して安全にやりとりできます。
なお、SSLでの暗号化は公開鍵暗号、秘密鍵暗号、デジタル署名、デジタル証明書の技術を組み合わせ実現します。
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)を利用してパソコンとサーバ間の通信データを暗号化することで、第三者によるデータの盗聴や改ざんなどを防ぐことができます。
SSLサーバ証明書が導入されているかどうか、ウェブサイトでパスワードやクレジットカード情報などを入力する前には必ず確認しましょう。
確認するポイントは大きく2つです。
1つめは、URLのところに「https」が記載されているかどうか!です。
SSL/TLSが導入されているウェブページでは、ブラウザのアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」になります。
2つめは、URLのところに鍵マーク、南京錠のマークがあるかどうか!です。
よくSSLが必要となる部分は企業ホームページのお問い合わせ入力フォームです!
自社で運用しているホームページの場合、お問い合わせ入力フォームや、会員登録、お申し込みの入力フォーム等、何か情報を入力フォームにて取得する場合、入力フォームがある場合は必ずこのSSL暗号化が必要なります。
現地審査ではどのくらいの確立でSSL化が指摘となるのか?
99%指摘事項としてでます。
逆にSSLを設定していないと審査にはいつまでたっても合格しない可能性があります。
たまに、審査員によっては、SSL設定までの計画を立て、残存リスクとして管理することで、審査が通ることもありますが、ほとんどこの事例はありません。
Pマーク(プライバシーマーク)新規取得時は特に見逃しやすいポイントでもありますが、ホームページをリニューアルした際や、新たにホームページを作成した場合には、忘れてしまうポイントでもあります。
「お問い合わせ入力フォーム等SSLによる通信経路の秘匿化がされていないものがある。」といった内容で指摘事項としてだされることが多いです。
どうせ審査で指摘になるのであれば、事前にチェックして導入しておくほうがよいかと思います。
審査で指摘されてから実施しても遅くはありません。企業の安全対策の一つとして導入してみてはいかがでしょうか。
その入力フォーム本当に必要ですか???
そんなSSLの設定をしようと検討している企業のご担当者様、、、、その前に、その入力フォーム本当に必要ですか???
当社でお手伝いさせているお客様では、ホームページにある入力フォームといえば、お問い合わせの入力フォームのみといったお客様も少なくありません。
そんなとき、私がご提案及びお聞きする内容が下記になります。
1.入力フォームから月何件くらいのお問い合わせがありますか?
2.そのお問い合わせから受注に繋がることはどのくらいありますか?
3.お問い合わせ入力フォームは本当に必要ですか?
実際ホームページ作成時に、他の企業でもよく見かけるし、入力フォームを設定している企業が多いから自社のホームページに入力フォームを設けているということが多いです。
毎月のお問い合わせもそんなにない、来たとしても営業のメールだったり、迷惑メールがほとんどだったり、受注につながることなんて本当にあるかないか、、、、、そんなお問い合わせフォームのために、ランニングコストのかかるSSLの設定をしますか?
Pマーク(プライバシーマーク)を取得、更新するためには、SSLのほかにも、入力フォームで取得する個人情報の同意文を掲載するなど、ホームページの修正が必要となります。
そこにお金をかける必要が本当にありますか?
入力フォームが不要の場合は、「電話とFAX、メールにてお問い合わせを受け付けます」としてしまえばよいのです。
「入力フォーム」があるから、SSLの設定や同意文の掲載が必要になるのです。入力フォームがなければ、そこにかかる費用も抑えることができます。
最後に
Pマーク(プライバシーマーク)を新規で取得しようとお考えの企業様、また、こういったSSLの設定でお困りの企業様がおりましたら、お気軽にご相談ください。
内部監査を実施してその課題を表に出して取り組んでいきましょう。
担当者レベルで決められない可能性もあります。
その場合は、代表者の見直し、マネジメントレビューなどで、代表の方と一緒になって課題解決をしていきましょう。
皆様にとってよりよい方法をご提案できればと思います。
そんなお手伝いをさせていただいております。ぜひ一度ご連絡をいただければと思います。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ