平文でパスワードを保管することとプライバシーマークの関係
宅ファイル便の個人情報漏洩事件が業界では大騒ぎとなっているのですが、1つ話題にしておかなければならないことがあります。運営会社はプライバシーマークを取得しているという事実です。しかし、パスワードが平文で保管されていたという状況についてギャップを感じる方も多いのではないでしょうか。
プライバシーマークは、個人情報を暗号化し保管することを義務化する規格ではないことを、共有しておきたいと思います。
プライバシーマークの大まかな成り立ち
概要
プライバシーマークの概要は以下の通りです。
プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
つまり、JIS Q 15001の中身に沿って運営している組織であることを認める規格です。従ってJIS Q 15001自体を知る必要があります。この中に、「個人情報は暗号化して保管すること」と書かれているかどうかがポイントとなります。
JIS Q 15001が読めるサイト
直リンクはありません。以下の方法でアクセスしてください。
1) JISのサイトを開く
2) 検索窓に、Q15001と入れる
3) 検索結果が出るので、「JISQ15001」のリンクを押す。
すると、全文を読むことができます。PDFならいいのになーと思いつつ。
JIS Q 15001の概要
なかなか本文を全部読み切るのは時間がかかります。内容はこんな構成になっています。※ワークトラストさんの図がすごくわかりやすいので引用しました。
引用:JISQ15001:2017とは|プライバシーマーク(Pマーク)の取得更新ならワークストラスト
この通り、本文があり、附属書A/B/C/Dが付いているという構成になっています。
JISQ15001における個人情報の技術的保管方法に関する文脈
結論から言います。
・本文「6.1.3 個人情報リスク管理」に、附属書Aに書かれている管理策を満たすことを義務化しています。
・附属書A「A.3.4.3.2」に以下の記載があります。
つまり、安全に管理しなさいと言っています。パスワードの保管にも関係していそうですね。内容については附属書Cを見なさいと言っています。
・附属書C「C.10 暗号」、これが唯一、個人情報保護時の暗号に対する記載となります。
つまり、方針を立てて実施することが望ましいとまでしか記載がなく、義務ではありません。個人情報のリスク管理方法として安全管理措置を行わなければならず、そのための方法としては暗号を用いることが望ましい。ここまでなのです。
ちなみに、具体的にはどのように管理策を立てればいいの?というガイドブック的なものの最新は下記の本で、有料です。
JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック 単行本(ソフトカバー)
この本、そうとう売れてるんだろうなと思います。以前の規格であるJISQ 15001:2006については、PDFでガイドブックが出ています。
JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版(2018年4月10日掲載:1.5MB)
この中の「Ⅱ技術的安全管理措置として講じなければいけない事項と望ましい方法の例示」には、平文の記載もあるんですね。
やはり「望ましい方法」に対する記載なので、努力義務となっています。
極論を言えば、組織が望ましいと思わなければ必須ではありません。
プライバシーマークの現実
プライバシーマークは、個人情報の取り扱いに対する運用方法・体制を細かく見るのが主眼で、その技術的手法については管理の中で自主的に組織が決定するものとなっています。ワークフローの中でリスクに基づいて企業が自身で考え行動し改善できるようになっているかを測るものです。
JIS15001は望ましい対応について整理してはいますが、それを技術的に採用するかは組織の判断につきます。本文に「パスワードに準ずるものは平文で電子的に保管してはならない」、という記載があれば審査員もエビデンスを要求するのでしょうが、附属書における推奨項目にしかすぎないので見解を聞いてアドバイスをするぐらいまでしかできないのが現実かと思います。
プライバシーマークには「個人情報管理台帳」の運用が義務付けられていて、そこにもし、「電磁的保管」をしている場合に平文か暗号化かの区別の記載を義務付ければ少しは状況も変わってくるのになと思います。
この台帳のフォーマットも自由なので、プライバシーマークはどこまで行ってもパスワードの暗号化保管を強制しない、のですね。
まとめ
ということで、いくら認証された体制を保持しても、最後はリスクマネジメントを行う組織の力量に依存してしまうことが明らかだと思います。
リスク管理表を作るとき、リスクアセスメントを行う担当者がその対応や評価を誤ると、思ってもないリスクが降りかかってしまうという現実です。例えば、暗号化されていると思って評価表には暗号化している、と書いてあるのに、実は平文だとか。また、退会者情報は削除されているはずだ、と思ったら削除されていないとか。
リスク評価は体制が保証してくれるものではなく、最終的には現場の人々のスキルと取り組みに対する真剣さ、その活動を積極的に評価するマネジメント層と言ったところが大事だと思います。
セキュリティーに対する工数は、ビジネス上の経費となってしまうので、何もないと予算を減らされたり活動を評価されない傾向にあります。結果的に体制や認証は形骸化し、意味のないものになりがちです。
認証自体は社会にとって不可欠なのですが、それを取れば安心というのはファンタジーです。個々の組織でリスクを顕在化させないように活動していきましょう。