人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

プライバシーマーク取得を目指してシステム構築中です。
私たちは、一つのパソコンを複数で利用し、データ書き込みや変更、メールを利用しています。
不正アクセス対策基準の「パスワード及びID管理」1で「ユーザIDは、複数のシステムユーザーで利用しないこと」と規定されています。
この場合、違反ということになるのでしょうか。
不正アクセス対策基準の規定している順法の状態とは具体的にどのような状態なのでしょうか。
よろしくご教示願います。

●質問者: manesapo
●カテゴリ:コンピュータ
✍キーワード:システム データ パスワード パソコン プライバシーマーク
○ 状態 :終了
└ 回答数 : 5/5件

▽最新の回答へ

1 ● l-lol-l
●20ポイント

ひとつのログインIDを複数の人が使わない。

逆にいえば、一人一人が異なるIDとパスワードを持つということです。

管理者が複数いる場合も管理者IDを共用するのではなく、管理者権限をもつIDをそれぞれ使用し、共用しないということ。

駄目な例

・kyoyouとIDをみんなが使う

・朝最初に使った人がログインしたあと、みんながそのまま使う。

私たちは、一つのパソコンを複数で利用し、データ書き込みや変更、メールを利用しています。

これが

私たちは、一つのパソコンを複数で利用しています。使用者は使用開始時にそれぞれのIDでログインし、データ書き込みや変更、メールを利用し、利用終了後、必ずログアウトしています。

こうなればよろしいと。

http://q.hatena.ne.jp/1148302474

離席時にもログアウトしたり、誰がログインしたかログを取ったり、パスワードはポストイットでディスプレイに張らなかったり。。。

◎質問者からの返答

早速のご回答をありがとうございます。

ただ、共有するデータであった場合、複数人がIDを共有することはあり得ますし、利用者数だけIDを設けることで返って業務の効率性に支障が出ます。共有データであっても使用者毎のIDが必要なのでしょうか。

お手数かけますが、ご回答願えますでしょうか。


2 ● ramdass
●20ポイント

個人情報の漏洩インシデントを起こしたときに、パソコンは共用IDで使用してましたから、誰が持ち出したかわかりません。てな話になったらプライバシーマークなんてかざりなわけですよ。

プライバシーマークを取得するということに、そのような要件があるのであれば、それは仕方ないんじゃないかな(要件かどうかは実は知りません)

共用IDを廃止することによって、業務効率が低くなることが問題であれば、プライバシーマークを取得しないという選択肢もあります。

http://q.hatena.ne.jp/1148302474

◎質問者からの返答

早速のご回答ありがとうございます。

参考にさせていただきます。


3 ● take4xp
●20ポイント

http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.ht...

この中にあるP23.24が該当すると思います。

組織的安全管理措置==>

組織的安全管理措置とは、安全管理について従業者(法第21 条参照)の責任と権

限を明確に定め、安全管理に対する規程や手順書(以下「規程等」という。)を整備

運用し、その実施状況を確認することをいう。

【組織的安全管理措置として講じなければならない事項】

?個人データの安全管理措置を講じるための組織体制の整備

?個人データの安全管理措置を定める規程等の整備と規程等に従った運用

?個人データの取扱い状況を一覧できる手段の整備

?個人データの安全管理措置の評価、見直し及び改善

?事故又は違反への対処

主要な文面ですが、まずは個人が管理するIDが存在すること。

次に、アクセス権を必要な人員にのみ開放する。

などがありますが、すべて?に該当する行為になると思われます。

次に、不正アクセスなどが発生した際に会社の組織としては、どのような対処を行うのか??

が、あげられると思います。

過去にあった、BBに関する内容では、アクセス権のあるIDが1つでみんなで共有していたこと、また外部からのアクセス権も有効であった点が指摘されています。

つまり、誰がいつ使ってデータをどのように扱ったのか、また外部からの進入を用意にできる体制にしていたため、個人の情報を漏洩することになったものです。

この事例から言えることは、必要なところにはお金をかける。運用体制については、十分なモラルがあってしかるべきであること。

したがって、個人情報の概念から言うと、共有データであろうがなんであろうが、情報の機密度合いに関係なく、パスワード管理などの必要があるということになりますね。

あまり気を落とさずに、データの運用方法などについては考えられる限りの方法を挙げて、ひとつづつ対処すればよいことになります。

がんばってください。ご成功をお祈りいたします。

◎質問者からの返答

早速のご回答をありがとうございます。

ヤフーの事例は重く受け止める必要がありますね。

ID、パスワードは設定する必要があるようですね。


4 ● Baku7770
●20ポイント

?R???s???[?^?s???A?N?Z?X?????

URLは不正アクセス対策基準です。

パスワードについては

1.ユーザIDは、複数のシステムユーザで利用しないこと。

2.ユーザIDは、パスワードを必ず設定すること。

3.複数のユーザIDを持っている場合は、それぞれ異なるパスワードを設定すること。

3.悪いパスワードは、設定しないこと。

4.パスワードは、随時変更すること。

5.パスワードは、紙媒体等に記述しておかないこと。

6.パスワードを入力する場合は、他人に見られないようにすること。

7.他人のパスワードを知った場合は、速やかにシステム管理者に通知すること。

8.ユーザIDを利用しなくなった場合は、速やかにシステム管理者に届け出ること。

とあります。

1より共有IDは不可となります。ただし、問い合わせでグループに対するメールアドレスを妨げるものではありません。

3について、パスワードは通常は8文字以上、英数字の双方が混在していることなどが一般的です。

4を遵守するためシステムでパスワードの変更要請メッセージやパスワードの世代管理も要求されます。

◎質問者からの返答

ご回答ありがとうございます。

問い合わせでグループに対するメールアドレスを防げるものではないというのは、どういう意味でしょうか。


5 ● Baku7770
●20ポイント

#a4で回答した者です。私宛コメントの質問に回答します。

>問い合わせでグループに対するメールアドレスを防げるものではないというのは、どういう意味でしょうか。

[8] $B%X%C%@$N07$$(B - $B%$%s%?!<%M%C%H%a!<%k$NCm0UE@(B

URLの後半部にある、グループアドレスのことです。

外部からの問い合わせに対し、otoiawase@hatena.ne.jpといったアドレスを用意しておいて、そのアドレス宛てにメールが送られると問い合わせ担当者全員の個人アドレス宛に配布してくれるといった仕組みです。

課単位、部単位でのグループアドレスを設けることもあります。

グループアドレスの管理は全社単位あるいは事業所単位で行うのが一般的です。その場合、グループアドレスのパスワード(可能であれば)をメンバー個々に教えることはありません。

◎質問者からの返答

ご回答ありがとうございます。

では、ID,パスワード共にグループ共有としておけば、問題ないということでよろしいでしょうか。この場合の一般的な設定方法をご教示くださいますでしょうか。お手数かけますがよろしくお願いいたします。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ