update:2017.09.05
■GOOGLE共有を利用した情報共有での個人情報保護
個人情報保護の担当者が社内でのgoogleサービスの利用について不安であると
相談を受けることがあります。
外部サービスによる業務の利便性向上に伴って
情報セキュリティリスクがあります。
従業員数の数万人の大企業では、管理リスクと
利便性のバランスから禁止をすることが多いようです。
すでに業務用アプリケーションを導入していることも理由としてあげられます
【外部のフリーサービス利用の場合】
フリーサービスを企業で利用する場合は、ここの管理者が従業員の本人となりますので
(実質的に企業の管理者がいないことになります。)社内ルールによる管理が必要となります。
個人アカウントで業務利用をしている場合には、BYODと同様のリスクがあります。
GOOGLEアカウントを業務に関しては、業務利用のみにつかう必要があります
この場合のルールとしては、
・業務利用のアカウント登録時に会社のメールアドレスで登録をおこなう
これをサービス化したものが googleの場合はG Suite です。
【会社でツールを管理ができる】
個人アカウントは契約がGOOGLEと本人であるため、会社が契約に
入っていないのでコントールができません。会社契約のG Suite であれば、
会社用のアカウントは管理は会社となります。アカウントは利用料金の
請求があるので、そのサービスでは情報は広告に利用されません。
データの保存ドライブが会社管理にすることができます。
また、アクセスログの取得や、メールによるアラート機能があります。
【導入前に】
外部サービス利用前には約款を確認しておきます。
【運用について】
★社内ルール決め
・現状の利用状況の調査を行い、リスクのある箇所については分析して対応するルールを策定します。
社外とのツールとして利用していないかどうかなど
・利用状況によってリスクの分析が必要です。その対策を実施後に残るものが残存リスクとなります。
★ルール適用の確認をどうやるか
・部署の個人情報保護担当者もしくは、管理者を運用をチェック
◆共有設定でのセキュリティ
・フォルダアクセス権限の設定ができるので、フォルダ単位の管理にすることができます。
◆検討時の個人情報や機微情報の対策
・部門で扱う個人情報種類やその利用状況を調査の必要があります。
・担当者や利用者などの個人情報の利用を無くすという対策は現実的には難しい。
機微性の高いもので
法的に禁止されているもの:マイナンバー
安全管理義務の高いもの 要配慮個人情報:病歴等、クレジットカード、センシティブと考えられるもの
漏えい時の予想被害が大きいものについてのクラウドサービスの利用については、使用頻度等を制限する。
クラウドサービスが法人向けのプランがある場合には、法人向けのサポートや事故時の相談窓口もあるので
活用しておいた方が安心です。
また、サービスの利用目的が共有であれば、共有が必要ではなくなったデータはクラウドではないストレージに
移しておくことで、アクティブな情報のみにしておくことで被害を最小限にすることができます。
