【第4弾】情報セキュリティ大作戦:ザ・ネクスト3 全5回 【本番データ(顧客情報)の利用について】
仁部こんにちは!情報セキュリティ室です。
今回は情報セキュリティ大作戦第4弾です!5回全て刮目して見てください。
さて、皆さんは業務上どうしても「システム」を利用していると思います。
Premier Net2やPrecoなど、もはやシステムを使わない業務というものは存在しないと言っても過言ではないほど、ITに囲まれて私たちはお仕事を進めています。
この「システム」というのは、皆さんが通常利用しているシステムを「プロダクション(正式版)」と呼びます。「正式版」というからには、「正規版ではない」システムもあるのでしょうか?
正解は…あります!
主に3種類の「同じシステム」が存在すると考えていただいて結構かと思います。
Production(プロダクション):本番環境、皆さんが普段使いしているシステム
Staging(ステージング):検証環境、機能の追加などを行う場合の「検証」として利用
Developer(デベロッパー):開発環境、開発会社やベンダーが利用する環境
このように、1つのシステムでも環境は3つあるということがほとんどです。
本番環境しかない、というのはあり得ないので、皆さんが触れることができないところに、実はのこり2つの環境があることがあります。
さて、本番環境には皆さんが普段使いしている「データ」も入ります。
このデータは、「クライアントからお預かりしている、大変重要な顧客情報」がありますが、ISO/IEC 27002(いわゆる、ISMS)では、検証環境・開発環境に「本番のデータ(顧客情報)を格納してはいけない」というルールがあります。
ただ、今までこのルールがはっきりしていなかったので、「実は検証環境にも本番データがあるかも…」という部門もあるかもしれません。
今一度、周知を兼ねてこの記事では触れていきたいと思います。
ISO/IEC 27002では、検証環境・開発環境に「本番のデータ(顧客情報)を格納してはいけない」。これは、今でも変わっていません。
はっきりしていなかった点については、ガイドラインを改めて改版をさせていただきました。
4.2.3 システム試験データの保護
03-014 システム開発管理ガイドライン
(1) 原則として本番データをシステム試験データとして使用しない。
(2) 本番データをシステム試験データとして使用する場合、システム開発管理責任者の承認を必要とし、保護手順を定め、適切に保護する。
(3) 本番データに個人情報が含まれる場合、マスキング等を行い、個人情報の漏洩を防止する。
(4) 可能であれば、利用するデータに対し、仮名化または匿名化を実施する。
(5) やむを得ず本番データを使用し、システム試験を実施する場合には、利用するデータ(情報)を特定し、本番データ利用記録に記録する。
(6) 前項については、システム部門内上長および関連するデータを保有する資産管理責任者の承認を必要とし、これを記録する。
(7) 使用したデータは、情報のライフサイクルに基づき、必要がなくなった時点で破棄し、これを記録する。
ガイドラインに明記されたことにより、お客様の個人情報を含む本番データは、検証環境では利用不可となりました。
これらの情報を検証環境で利用する場合には、システム開発責任者の承認とマスキングが必要になります。マスキングできない場合には、本番データ利用記録を作成し、資産管理責任者の承認が必要です。(いずれも承認は、承認の記録が必要になります)
個人情報保護法が改正されて久しいですが、情報の取扱が非常に厳格になってきています。上記が非常に項目がおおく、難しい内容となっていますが、ご理解とご協力のほどよろしくお願いいたします。
