| ||||||||||||||||
(平成12年10月執筆)
(設問ア) |
1.情報システムの概要 1.1.新しいウェブサイト 当社は年商約一千億円、従業員数約千人の総合酒類メ ーカーである。当社では6年前からホームページを開設 し、会社の紹介や製品の案内等を行ってきた。しかし、 そのホームページのコンセプトは6年前から基本的に変 わっておらず、陳腐化、マンネリ化した感があった。 昨今の不況下において酒類の収益性は低下しており、 市場全体の伸びも殆ど期待できない。そこで、インター ネットを利用した新しいマーケティング手法が検討され、 このたび、全く新しいウェブサイトを開設することにな った。このサイトは従来のホームページとは別個のもの で、運営も新たに設立した子会社で行っている。 このサイトは一般の利用者がある程度の情報を見るこ ともできるが、基本的には会員制となっている。会費は 無料であり、会員登録すると、メールマガジンの配信を 400 受けられるほか、懸賞への応募権や掲示板への書き込み 権などが得られる。数ヶ月後には、会員への通信販売や 有料の情報提供サービスも開始する予定である。 私はこのサイトを開設するプロジェクトに上級システ ムアドミニストレータとして参加した。 1.2.会員の登録情報の取扱い 会員登録するためには、所定のページに氏名、住所、 年齢、職業等の情報と電子メールアドレスを入力し、更 にアンケートに解答して送信することになっている。こ の際に、IDとパスワードも各自で決めて入力し、重複 がなければそのまま登録されるシステムとなっている。 このようにして送信された会員情報はデータベースに 蓄積され、アンケートの集計結果は随時マーケティング に反映される。また、会員制通信販売を開始する際には このIDとパスワードが申込者の確認に、住所等の情報 が配送先の情報として利用される予定である。 800 |
(設問イ、ウ) |
2.会員情報保護のための施策 2.1.会員情報の収集 入会希望者が個人情報を送信しようとする場合には、 次の二つの問題が考えられる。 1)情報の誤入力とID等の忘却 電子メールアドレスや電話番号の入力に誤りがあった 場合、会員として希望するサービスが受けられなくなる 恐れがある。また、IDやパスワードを忘れた場合、希 望するサービスが受けられなくなる。 2)送信中の情報の漏洩 登録内容がインターネット経由で送信されるため、悪 意ある第三者に情報を盗まれる恐れがある。 以上に点の問題については、それぞれ以下のような対 策が講じられている。 1)については、登録内容確認のページを設け、また登 録確認のメールを自動返信することによって、入会者が 400 登録内容及び登録された事実を確認できるようにした。 また、入力内容に少しでもミスが少なくなるように、ヒ ューマンインターフェースの設計、レビューには十分な 配慮をして、フールプルーフを徹底して誤入力を少なく する方策を講じた。郵便番号と住所の整合性のチェック 機能や、電話番号の桁数チェック機能なども設けた。 2)については、登録画面は暗号化して通信するシステ ムとした。暗号化については近年普及している2種類の ブラウザの最近数年に普及したヴァージョンすべてで対 応できる方式を採用し利便性を図った。 2.2.会員情報のデータベース データベースに蓄積された会員の個人情報に想定され るリスクとしては、情報の消滅と漏洩が考えられる。 これらの対策として、サーバを堅固で人の出入りが管 理されている建物内に設置するとともに、ディスクミラ ーリングによって信頼性を高めている。また毎日1回、 800 データを暗号化して、別の都市にあるサーバに送ってバ ックアップを取るようになっている。更に、これらのサ ーバへのアクセスはIDとパスワードによって厳重に管 理されているのみならず、それぞれのサーバの前には専 用のファイアウォールを設け、指定されたIPアドレス のコンピュータ以外からのアクセスを禁じている。 2.3.会員情報の利用 登録された会員の個人情報は、会員へのサービス及び 会員との取引以外には利用されないことになっている。 しかし、当社またはサイト運営会社が新しいサービスを 開始した場合、それを予期していなかった会員から苦情 を受ける恐れがある。その対策として、会員と当社およ び運営会社の間の権利・義務を明確化した規約を設けて いる。 また、会員が自らの登録した情報を利用してサービス の申込などを行っている際、IDとパスワードが漏洩し 1200 て第三者に悪用される可能性も懸念される。会員にはパ スワードを定期的に変更し、絶対に他人には知られない ように注意を促している。 2.4.会員情報の提供 会員の個人情報が第三者に提供され利用された場合、 会員が不愉快な思いをしたり、不利益をこうむったりす る恐れがある。当サイトの会員規約では、会員のいかな る個人情報も、個別に第三者に提供されることはないと 定められている。ただし、集計された統計情報としては 公開されることがあるとされている。 3.会員情報管理の適切性の監査 3.1.会員情報の収集過程の鑑査ポイント 会員としてサービスを受けるために必要な個人情報が 正しく登録されているか、またそれらの情報が送信され てからデータベースに収められるまでのセキュリティ対 策は万全であるかについて監査する。 1600 3.2.会員情報データベースの監査ポイント 災害による物理的傷害を出来得る限り防ぐことができ る場所にサーバが設置されているか、またサーバが設置 されている部屋あるいは建物への人の出入りは正しく管 理されているかについて監査する。また、バックアップ は正しく安全に行われているか、外部から本体及びバッ クアップ用のサーバへの不正なアクセスの形跡はないか について監査する。 3.3.会員情報利用に関する監査ポイント 登録された個人情報を個別に取り出す作業の有無につ いて調べる。そのような作業がある場合には、アクセス できる人間の特定と利用目的等の実態について監査する。 また、IDやパスワードが不正に利用されたとの会員 からの届出がないかについても監査する。 3.4.会員情報の提供に関する監査ポイント 会員の個別の個人情報が第三者に提供されていること 2000 はないか、また情報を集計して第三者に提供あるいは公 に発表されている場合、特定の個人あるいは集団につい ての情報が類推できる状態になっていないかについて監 査する。 |
<みなさんのコメント要旨>
|