仕事を探す
サービス出品
ブログを投稿
ココナラブログ

個人情報の価値とセキュリティコスト削減のツケ

記事
IT・テクノロジー
user
ZAT_stuff
2022/03/01 10:20
ココナラだけではなく、他サイトでのシステム開発やwordpressなどのCMSにて会員情報(個人情報)を収集するサイトの開発・制作の募集をみて、価格が驚くべきものになっている。
しかも、それに手を挙げて作業をしているユーザーがいるのだ。

何を驚くのかといえば、セキュリティ担保がその価格でとれているのかということ。合わせて、作業をした人とはそれっきりなのか、その後も連絡を果たしてとれるのだろうか。
別の案件などで聞くと、ココナラや他サイトで依頼したあと、その後連絡がとれなくなったということはよく耳にしたり、募集で散見する。

個人的な意見になるが、価格は見合ったものにして、依頼するユーザーもその場限りではなく、何かがあった時に確認ができることやセキュリティ担保がしっかりとれるかは発注前に確認すべきであるということだ。

個人情報の価値

よくみるのが、会員情報を取得して情報を発信したいというもの。
単にメールアドレスレベルならよいが、思いっきり名前やメールアドレス、住所などもはいっており、個人情報がしっかり取得しているものがある。
大したことがないという認識があるかもしれないが、個人情報を取得する重みとその価値が大きいことは取得する側はきちんと認識・理解すべきなのだが
残念ながら、希薄である。
そんな取得元を知らず、ユーザーは個人情報を預けてしまう。
そして、そのサイトのセキュリティレベルは低いのだ。

セキュリティについては一番コスト削減したい

数万円程度の募集で個人情報の収集を行うサイトを作成したいということに対して疑問が浮かぶ人はまだ正常だと思う。
一方、普通ではと思うとすれば、それはセキュリティに関する対応に関して知見がないのかもしれない。
セキュリティに関する部分を提案すると、コスト削減を要求されることが非常に多い。
理由としては簡単で、全体的な予算を下げたいからだ。
しかし、昨今のみずほ銀行やセブンアンドワイのことを題材にすると、セキュリティに関する部分の重要性が再認識されやすい。
つまり、低いコストでセキュリティに関する依頼をすることがすでに危険であり、高いからセキュリティ対応がされるではなく
「セキュリティ」に関する部分をしっかりクローズアップして依頼をかけるだけでなく、作業をするユーザーのセキュリティ認識を確認して取り組ませることが非常に重要だということ。
そして、その対価がコストに跳ね返るのだ。

リスクを考えよう

実はというより、現実的にほとんどの企業が「リスク」についてしっかり分析できていない。これはPマークの取得支援を行ったことからよくわかることだ。自分たちの行っている業務に対して、どんな「リスク」が起こりうるのか。
例えばそれは、個人情報などがあるエリアにアクセスする際に、誰でもアクセスができて、IDやパスワードの入力の必要がない。
となると、誰でもアクセスができるので個人情報は取得し放題なのだ。
これは流出の可能性がある。さらにログがとれていないのであれば、誰がアクセスしたのか、誰が不正な動きをしたのかも分からない。

しかし、それらが徹底されていて、IDとパスワードの入力が必須になっている。だが、個人情報が流出されてしまった。
それはログをとっているのに定期的にログチェックをして「リスク」に対する取り組みをしていなかったのだ。
つまり、これは「リスク」を分析していなかったことが要因なのだ。
自分たちがやろうとしていること、すでに行っている業務に対して「リスク分析」を行うことは当然のことであり、自分たちの弱点や課題をしっかり持ったうえで開発や依頼をするのは最もなことであり、行っていないと自殺行為に近いこともある。

連絡がとれなくなるようなユーザーと契約するな

連絡がとれなくなるようなユーザーと契約することはすでに間違い。
重要な案件を任せるのであれば、機密保持契約はもちろんだが、業務委託契約などで別途、その後のケアをどうするのか、非常事態には対応するのか
セキュリティ担保をどこまで考えたものかなどきちんと対応範囲の明確化
どういうセキュリティ要件なのかをまとめておくべきである。
契約をしても連絡がとれなくなるのはもちろんあるが、個人間契約をすることのリスクはその部分であるといえる。

このご時世だからこそ

本日のyahooニュースにも下記が出ていた
「メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる」
また、昨日は「トヨタ、国内全工場を停止へ 部品会社にサイバー攻撃」
大手でも起こりうるインシデントだが、インシデントは対策をすることでその被害を小さくすることができる。
しかし、対策をしていないとどうであろうか。
そのツケや代償は非常に大きいものであり、企業または個人でもそうであるが再起ができるとはとても思えないことになる。
だからこそ、我々は個人情報の重みやセキュリティに関する意識や重要性を再度理解すべきなのである。
#個人情報#情報セキュリティ#不正アクセス#悪質ユーザー
user
ZAT_stuff
個人情報・情報セキュリティ、企業資格対応 / 法人 / 男性
サービス数40万件のスキルマーケット、あなたにぴったりのサービスを探す