プライバシーマーク取得を目指してシステム構築中です。

私たちは、一つのパソコンを複数で利用し、データ書き込みや変更、メールを利用しています。
不正アクセス対策基準の「パスワード及びID管理」1で「ユーザIDは、複数のシステムユーザーで利用しないこと」と規定されています。
この場合、違反ということになるのでしょうか。
不正アクセス対策基準の規定している順法の状態とは具体的にどのような状態なのでしょうか。
よろしくご教示願います。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/05/22 21:54:37
  • 終了:2006/05/29 21:55:05

回答(5件)

id:l-lol-l No.1

l-lol-l回答回数310ベストアンサー獲得回数102006/05/22 23:10:10

ポイント20pt

ひとつのログインIDを複数の人が使わない。

逆にいえば、一人一人が異なるIDとパスワードを持つということです。

管理者が複数いる場合も管理者IDを共用するのではなく、管理者権限をもつIDをそれぞれ使用し、共用しないということ。

駄目な例

・kyoyouとIDをみんなが使う

・朝最初に使った人がログインしたあと、みんながそのまま使う。

私たちは、一つのパソコンを複数で利用し、データ書き込みや変更、メールを利用しています。

これが

私たちは、一つのパソコンを複数で利用しています。使用者は使用開始時にそれぞれのIDでログインし、データ書き込みや変更、メールを利用し、利用終了後、必ずログアウトしています。

こうなればよろしいと。

http://q.hatena.ne.jp/1148302474

離席時にもログアウトしたり、誰がログインしたかログを取ったり、パスワードはポストイットでディスプレイに張らなかったり。。。

id:manesapo

早速のご回答をありがとうございます。

ただ、共有するデータであった場合、複数人がIDを共有することはあり得ますし、利用者数だけIDを設けることで返って業務の効率性に支障が出ます。共有データであっても使用者毎のIDが必要なのでしょうか。

お手数かけますが、ご回答願えますでしょうか。

2006/05/22 23:13:59
id:ramdass No.2

ramdass回答回数119ベストアンサー獲得回数12006/05/22 23:39:34

ポイント20pt

個人情報の漏洩インシデントを起こしたときに、パソコンは共用IDで使用してましたから、誰が持ち出したかわかりません。てな話になったらプライバシーマークなんてかざりなわけですよ。

プライバシーマークを取得するということに、そのような要件があるのであれば、それは仕方ないんじゃないかな(要件かどうかは実は知りません)

共用IDを廃止することによって、業務効率が低くなることが問題であれば、プライバシーマークを取得しないという選択肢もあります。

http://q.hatena.ne.jp/1148302474

id:manesapo

早速のご回答ありがとうございます。

参考にさせていただきます。

2006/05/23 08:50:01
id:take4xp No.3

take4xp回答回数126ベストアンサー獲得回数42006/05/22 23:44:43

ポイント20pt

http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.ht...

この中にあるP23.24が該当すると思います。

組織的安全管理措置==>

組織的安全管理措置とは、安全管理について従業者(法第21 条参照)の責任と権

限を明確に定め、安全管理に対する規程や手順書(以下「規程等」という。)を整備

運用し、その実施状況を確認することをいう。

【組織的安全管理措置として講じなければならない事項】

①個人データの安全管理措置を講じるための組織体制の整備

②個人データの安全管理措置を定める規程等の整備と規程等に従った運用

③個人データの取扱い状況を一覧できる手段の整備

④個人データの安全管理措置の評価、見直し及び改善

⑤事故又は違反への対処

主要な文面ですが、まずは個人が管理するIDが存在すること。

次に、アクセス権を必要な人員にのみ開放する。

などがありますが、すべて①に該当する行為になると思われます。

次に、不正アクセスなどが発生した際に会社の組織としては、どのような対処を行うのか??

が、あげられると思います。

過去にあった、BBに関する内容では、アクセス権のあるIDが1つでみんなで共有していたこと、また外部からのアクセス権も有効であった点が指摘されています。

つまり、誰がいつ使ってデータをどのように扱ったのか、また外部からの進入を用意にできる体制にしていたため、個人の情報を漏洩することになったものです。

この事例から言えることは、必要なところにはお金をかける。運用体制については、十分なモラルがあってしかるべきであること。

 

したがって、個人情報の概念から言うと、共有データであろうがなんであろうが、情報の機密度合いに関係なく、パスワード管理などの必要があるということになりますね。

あまり気を落とさずに、データの運用方法などについては考えられる限りの方法を挙げて、ひとつづつ対処すればよいことになります。

がんばってください。ご成功をお祈りいたします。

id:manesapo

早速のご回答をありがとうございます。

ヤフーの事例は重く受け止める必要がありますね。

ID、パスワードは設定する必要があるようですね。

2006/05/23 08:51:22
id:Baku7770 No.4

Baku7770回答回数2832ベストアンサー獲得回数1812006/05/23 16:06:55

ポイント20pt

�R���s���[�^�s���A�N�Z�X�΍��

URLは不正アクセス対策基準です。

パスワードについては

1.ユーザIDは、複数のシステムユーザで利用しないこと。

2.ユーザIDは、パスワードを必ず設定すること。

3.複数のユーザIDを持っている場合は、それぞれ異なるパスワードを設定すること。

3.悪いパスワードは、設定しないこと。

4.パスワードは、随時変更すること。

5.パスワードは、紙媒体等に記述しておかないこと。

6.パスワードを入力する場合は、他人に見られないようにすること。

7.他人のパスワードを知った場合は、速やかにシステム管理者に通知すること。

8.ユーザIDを利用しなくなった場合は、速やかにシステム管理者に届け出ること。

とあります。

 1より共有IDは不可となります。ただし、問い合わせでグループに対するメールアドレスを妨げるものではありません。

 3について、パスワードは通常は8文字以上、英数字の双方が混在していることなどが一般的です。

 4を遵守するためシステムでパスワードの変更要請メッセージやパスワードの世代管理も要求されます。

id:manesapo

ご回答ありがとうございます。

問い合わせでグループに対するメールアドレスを防げるものではないというのは、どういう意味でしょうか。

2006/05/23 18:54:30
id:Baku7770 No.5

Baku7770回答回数2832ベストアンサー獲得回数1812006/05/24 11:37:16

ポイント20pt

 #a4で回答した者です。私宛コメントの質問に回答します。

>問い合わせでグループに対するメールアドレスを防げるものではないというのは、どういう意味でしょうか。

[8] $B%X%C%@$N07$$(B - $B%$%s%?!<%M%C%H%a!<%k$NCm0UE@(B

 URLの後半部にある、グループアドレスのことです。

 外部からの問い合わせに対し、otoiawase@hatena.ne.jpといったアドレスを用意しておいて、そのアドレス宛てにメールが送られると問い合わせ担当者全員の個人アドレス宛に配布してくれるといった仕組みです。

 課単位、部単位でのグループアドレスを設けることもあります。

 グループアドレスの管理は全社単位あるいは事業所単位で行うのが一般的です。その場合、グループアドレスのパスワード(可能であれば)をメンバー個々に教えることはありません。

id:manesapo

ご回答ありがとうございます。

では、ID,パスワード共にグループ共有としておけば、問題ないということでよろしいでしょうか。この場合の一般的な設定方法をご教示くださいますでしょうか。お手数かけますがよろしくお願いいたします。

2006/05/24 12:57:17
  • id:Baku7770
     #a5の私宛コメントに回答致します。
    >ID,パスワード共にグループ共有としておけば、問題ないということでよろしいでしょうか。
     基本的には問題有りです。
     ID・パスワードの共有を基本的に禁止するのは他の方もコメントされていますが、内部の人間がシステムに対して起こした行動を明確に記録するためのものです。
     先述のグループアドレスの設定も権限者のIDに作成権限を与えるといった方法で行います。具体的な方法はシステムにより、異なりますのでマニュアルを参照して下さい。グループアドレスまたは自動転送で載っているはずです。
     
     一部繰り返しになりますが、
    ①グループアドレスという特殊なアドレスを作成する
    ②グループアドレス宛てに送られてきたメールは各自のメールアドレスに自動転送される。
    ③システムにグループアドレスや自動転送の機能がないならば特定の管理者1名を決めて、手動で転送するようにする

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません