【プライバシーマーク】USBは使ってはダメなの？

プライバシーマークの安全管理マニュアルでは、USBやCDなどの記憶媒体を使用することを社内で禁止されていたり、申請を出してからUSBやCDを使用したりする社内ルールが多いですが、御社の社内ルールはどうでしょうか？

USB やCDのデータはファイルを削除しますが、そのデータは実は廃棄しても復元ソフトを使ったらデータを抜き出すことが出来るケースが多いです。

パソコン上で は機能的に見れなくなっていますが、物理的にデータがパソコン内に存在するからです。

特にUSBは価格的にも安く、利用者が多いと思いますが、使用方法を 間違えると個人情報の漏洩につながります。

プライバシーマーク上でUSB使用するのは禁止ではございません。
USBメモリを万が一紛失してしまった場合のリスクしか考えて、禁止のルールがつくられている場合があります。

漏洩リスクをなくさないとプライバシーマークが取得できないと考えてしまっているため、守れもしない禁止するルールを作ってしまっていることがあります。

漏洩しないルールを作る必要はなく、漏洩しにくいルールを作りをするのがプライバシーマーク
を取得するために必要なものです。

例えば、運用のルールとしてUSBの取扱を以下のように現在の運用よりも漏洩しにくいであろうルールを考えて、その中から自社で運用できるルールを選択すればいいのです。

• 個人所有の物や各部署で購入は禁止し、どこかの部が一括管理し、必要部署に支給する。
• 使用部署では保管場所を定め、使用時以外は施錠管理する。
• 購入するUSBメモリ等はセキュリティ性の高いものを購入し、内部に保存する個々の情報にはパスワード設定は必須とはしない。

プライバシーマークの規格書であるJISQ15001には、実際に個人情報を保護するルールについて、
具体的ところまで記載されていません。

JIS Q 150013.4.3.2　安全管理措置
「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の
個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」

個人情報のリスクに応じて適切な措置を講じなさいと記載があるだけです。
具体的にUSBメモリは使用してはならないなど記載されていないのです。

具体的な運用ルールについては、自社でかなり自由に定めることが出来るのです。
漏洩しにくいルールを会社独自で作成すれば良いのです。

フラッシュメモリは特に優れているので、貸し借りをしている間にデータが抜き取られている可能性がありますので気をつけた方がいいです。

対策としては、貸し借りをしないことがもちろんですが、暗号化されたファイルや暗号キーの設定を行って業務に使用するといいでしょう。
暗号も固定するのではなく、毎回変更してわかりにくいものを使用することをお勧めします。

USBやCDなどの記憶媒体を処分する時は、物理的な破損をお勧めします。
また、消去専用のソフトを使用するか専門業者に依頼すると安全です。

ISO・Pマーク認証更新でお悩みの方へ

 

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

無料相談はこちら

見積もり依頼はこちら