最近、幾つかの企業のサイトを見る機会があった。 そこには当然のように「個人情報保護方針」が掲載されていたので、そちらを覗いてみた。 そうすると、何かテンプレートのようなものがあるのだろうか? どこの企業の個人情報保護方針にも同じ事が書かれていたのである。
その中で気になる点を見つけたので書き記しておく。
多くの企業では多少文面的には違うのだが内容的には同じ事として次のような事が書かれている。 「当社は、個人情報の正確性及び安全性を確保するため、情報セキュリティ対策をはじめとする安全管理措置を講じ、個人情報への不正アクセス、または個人情報の紛失、破壊、改ざん、漏えい等の予防に努めます。」 ちょっと長いですが、キモとなる部分は「改ざんの予防に努める」という言葉である。 これは大変重要な事なのだが、多くの企業が意識していない事である。
ところが、その様な文面を掲げている企業に限って、困った事に「改ざん対策がなされていない」のである。 多くの企業のサイトには「お問い合せ」と称してフォームによって個人情報を入力させる仕組みを持っている。 ウチの事務所のサイトも然りである。 で、「改ざんの予防に努める」と称している企業に限って、お問い合せフォームの通信が平文でインターネットの世界を流れる「http://」で始まる通常のHTTP通信なのである。 これでは通信路の途中で改ざんされてしまう可能性が高い。 既に個人情報保護方針は守られていないのである。
ウチの事務所のお問い合せフォームは改ざん対策として「https://」で始まるHTTP Over SSL(SSL通信)を採用している。 当然のことながら、正式なサーバー証明書も取得しているので「安全・安心」なのである。 もっと言えば、サーバーとメールクライアントの間(メール読みだし)の部分にもSSL通信を採用しているのである。 これは、個人情報を守る上では必須の事項だと思うのだが、多くの企業で行われていないのである。
ちなみにサーバー証明書は安価なもので年間4万円弱から入手可能であり、サーバーに関する簡単な知識さえあれば対応は可能な事なのだが、残念ながら行われていない企業が多い。 これは、企業や社内SEの情報セキュリティに対して意識が低かったり、社内SEの理解力不足・能力不足などが原因として挙げられる。
大層な個人情報保護方針を掲げている会社の問い合わせフォームを確認してみよう。 そこで個人情報保護方針が形式的なものなのか中身を伴っているものなのかが良く判る。 個人情報保護方針が形式的なものになっている企業は、正直言って企業としての信用度にも疑問符が付くと考えて良いだろう。 個人情報保護方針に記載されている内容の意味を判っていない企業には、個人情報を保護する事はできない。 そんな企業に、個人情報を提供してはいけないのだという事を、読者の皆さんには理解して欲しいと思うのである。
投稿者プロフィール
最新の投稿
お知らせ2024/04/04弊社ドメインにおけるDMARCのポリシー変更について- お知らせ2024/04/01ゴールデンウィーク休業のお知らせ
お知らせ2024/03/16「中小企業の情報システム担当者不足をどう解決する?」ウェビナー開催
情報セキュリティ2024/02/22送信側迷惑メール対策としてのSPF・DKIM・DMARCそしてARC
