|
- 《 セキュリティ管理編 》
個人データ項目のマスキング。
システム開発においてお客様の個人データを試験データとして借りる場合
があります。
個人情報に限らず重要な企業情報でも、
個人や特定の企業などを表す項目は、*(アスタリスク)記号などに
変換してから試験を行わなければなりません。
これをマスキング処理と言います。
試験中は、画面のハードコピーを保存したり、処理結果を印刷したりと
試験データが予想以上にコピー・印刷されます。
また100%正しく廃棄されることはなく、検証資料として保存され、最後には
忘れられてしまうことが多いのです。
マスキングが正しく施されていれば、漏えいが発生しても、
特定個人名や企業名が漏れることはありません。
大企業ではしっかりしていそうに見えますが、意外と守られていないのが
実態です。
中小企業ではさらにひどく個人的な信頼関係だけに頼ってしまっています。
もし個人情報が漏えいしてしまった場合、
企業を含めて信頼関係の喪失になります。
当然担当者も厳しく罰せられることになります。
借用側、貸出側ともに担当者の意識の低さが原因です。
日頃から、セキュリティ意識の高揚の教育が足りないのです。
一手間を惜しんだばかりに、担当者だけでなく、
企業の信頼と売上を無くすことになるのです。
特にトラブル発生時の緊急対応の場合に疎かになりやすいのです。
突然マスキング処理を行うとなると、
ミスをしたり、マスキング漏れがあったりと
トラブル対応まで遅れてしまうことになります。
事前にマスキングを行わなければならない項目を洗い出し
前もってマスキング処理ツールを作成しておきましょう。
このような対応で、トラブル対応時間を少なくするとともに、
セキュリティ不足をなくすことが可能になります。
・貸出/返却ルールの策定
・貸出/返却における双方の責任者の承認義務付け
・マスキング対象のファイル名や項目名称の選定
・マスキング方法
(単純*又は連番付き、データ内容毎の規則変換、ランダム変換)
いつの間にか、
大量の個人データや重要機密データが社外に持ち出されているといった
事態が発生しないように
個人データの漏えいに関する調査を最低半年に1回は実施しましょう。
|