プライバシーマーク取得とＳＮＳ【第3回対談インタビュー】：株式会社バルク・田村氏 × ソーシャルメディアリスク研究所・田淵

第２回対談は、「スマートフォンが内包するデバイスの情報セキュリティリスク」について、二人に語ってもらいました。今回はバルクが業務としている個人情報保護の認証取得と、ＳＮＳの関係について、田村氏に話を聞きました。

田淵　前回、スマホの情報セキュリティについて、どういった点に脆弱性があり脅威となるかについて、話をしていただきましたね。

田村　はい。私物スマホのＳＮＳ利用で起こる、個人情報の漏えいの話などしましたね。

田淵　今回は、御社の事業である個人情報保護に関する認証取得と、ＳＮＳの関係についてお話を伺いたいと思うのです。

田村　どのようなことでしょうか。

田淵　個人情報の漏えいが、スマホのＳＮＳ利用で起こるとすれば、プライバシーマーク（※）取得で、どのように扱われているのかと思いまして。

※プライバシーマークとは・・・事業者が業務上取り扱う個人情報を安全で適切に管理するための日本工業規格「JISQ15001」の要求事項を満たしていることを第三者機関に認証してもらう制度。個人情報保護マネジメントシステム要求事項「JISQ15001」はプライバシーマークの認証を受ける際の基準となります。

田村　プライバシーマーク取得では、業務上では、私物スマホを使うことが絶対ダメかというと、そうではありません。

田淵　といいますと？

田村　通常、審査員は私物のスマホについて、使用を禁止するような是正指示を出すことはありません。

田淵　なぜですか？

田村　そのような是正指示は、私物に代わるスマホ本体と回線をただちに揃えないと、その企業は認証を取得できない、ということに結び付きます。そのコストを予算化できない企業は認証をあきらめざるを得ません。

田淵　つまり認証取得のために、私物スマホの業務利用を禁じることは、本末転倒ということですね。

田村　認証制度の目的のひとつは、企業の活動を支援する、ということですが、その限界ですね。会社が貸与するスマホに関しては、画面ロックなどの起動制限ができているかなどを見られたりします。しかし私物スマホについては見ないか、「危険ですよ」というコメントを残す程度になることが多い。

田淵　見ないことが多いのですね。しかしそれでは片手落ちではないですか。

田村　現在、こういった認証取得を考えている会社の規模は、２～３人から２０～３０人ぐらいが一番多いのです。そういった企業では、新しいコストの発生を簡単に受け入れることはできません。

田淵　つまり、社員の私物スマホの業務利用についてダメ、ということになると審査が進まなくなるということですね。だから、審査ではみないと。

田村　そういう面は残念ながらあるかと思います。

田淵　審査対象外ですか。それは驚きました。

田村　実質的にはノーチェックです（笑）。ただ、審査の話と、「それでいいのか」という話は別です。我々は審査をパスするために必要なこととは分けて、ほんとにそれでいいんですか？という話を、クライアント企業には伝えています。

田淵　それは、専門家として正しいアドバイスだと思います。昔から私物スマホについては情報セキュリティ上の問題になっていました。昨今はＳＮＳが出てきて、問題が大きくなってきていますから。

田村　我々は情報セキュリティを扱う会社ですので、そういった話をクライアント企業にしますが、先ほどお話ししたとおり、認証取得のメイン層である企業規模の場合、本質的な情報セキュリティレベルを上げるために認証を取得するというお客様は稀です。多く企業では取引先の要件に応じるためなど、「マーク取得」自体が目的になっています

田淵　それは残念ですね。しかしそれが実際のところなのでしょうね。

次回は「それでも個人情報保護に関する認証取得が役に立つ理由」について、さらに話を伺うことにします。

今回対談を受けて頂いた方

田村豪之（たむらひでゆき）

株式会社バルクコンサルティング事業部シニアコンサルタント事業部長

200社を超える企業に対する400件を超える認証審査対応という、日本有数の実績を背景にした、企業ごとの実情にマッチした変幻自在の提案力を武器に、事業運営にまつわるリスクに対して空論に終わらない対応策策定をおこなう。「各社の資源に合わせた最高のリスク対策の立案と実現をサポートします。」大阪府出身　中小企業診断士

【対談インタビュー】株式会社バルク・田村氏 × ソーシャルメディアリスク研究所・田淵

⇒【第1回】「変容する情報セキュリティ」の記事はこちらから
⇒【第2回】「スマートフォンが内包する情報セキュリティリスク」の記事はこちらから
⇒【第3回】「プライバシーマーク取得とＳＮＳ」（こちらの記事）

株式会社バルクとは

バルクは、プライバシーマーク・ISO27001取得運用支援では業界トップクラスの支援実績を誇る情報セキュリティコンサルティング会社です。近年、情報セキュリティにおいては新たな脅威が拡大しています。最も対策が急務となっているのはサイバー攻撃ですが、改正個人情報保護法やEU圏のGDPRなど、個人情報や機密情報の取扱いには、企業としての責任が年々問われる状況にあります。
バルクは、そのような背景の中で業界のリーディングカンパニーとして、常に他社よりも先駆けたサービスの提供を続けている会社です。ITツールを使った支援も行っており、数多くのプロジェクト実績やあらゆる業種、規模に応じた対応ノウハウを有しております。