Q&A
初心者アイコンがあるので、わざわざ要件ではない「初心者」という文言を含む必要はありません
顧客情報などのデータはレンタルサーバー上に保持してよいのでしょうか?
はじめまして
とても初歩的な質問だと思いますが、個人情報である名前、住所、電話番号等のデータはレンタルサーバー上のデータベースに保管してよいものなのでしょうか?
現在、さくらレンタルサーバーのスタンダードプランを利用してサイトを公開しておりますが、お問い合わせフォームの設置を考えています。
その際に、問い合わせ内容をデータベースに保管したほうが便利なのではないかと考えましたが、表題の件が引っ掛かり質問させていただいております。
勿論可能な限りのセキュリティを施す予定ですが、そもそもレンタルサーバーのデータベースで顧客情報を保持してもよいものなのかを教えてください。
よろしくお願いいたします。
解決しました
ご意見、ご指摘ありがとうございました。
総合的に判断した結果、レンタルサーバーのデータベースに顧客情報を保管し管理することはリスクが高いと判断しました。
よって必要なセキュリティ対策を行ったフォームの内容をメールにて送信し、メールの内容をEXCEL VBAにてマクロを構築しEXCELシートに一括取り込みを行いローカル環境に保存することにしました。
でもレンタルサーバーに限らず外部のサービスで顧客情報を管理してるサイトってたぶんいっぱいありますよね
ご指摘ありがとうございます
修正いたしました
本題の内容についても何かご回答いただけると幸いです
既に回答しています
確認しました
ありがとうございます
回答6件
0
とても初歩的な質問だと思いますが、個人情報である名前、住所、電話番号等のデータはレンタルサーバー上のデータベースに保管してよいものなのでしょうか?
良い悪いの判断基準が何かを考えたほうが良いです。
(法律なのか?規格なのか?ガイドラインなのか?業界標準なのか?等々)
それ次第で相談先を選定してください。
おおよそどの基準であっても、teratail は責任のある回答を得る場所ではないです。
投稿2019/12/09 02:21
退会済みユーザー
総合スコア0
ご回答ありがとうございます。
私自身調べてみましたが、レンタルサーバーのデータベースに問い合わせフォームの情報を保持しているものがありました。
なので業界の一般論としてどういう扱いなのかを知りたいと思い質問させていただきました。
ご回答者様の考えとして良いのか悪いのかを教えていただけると幸いです。
回答読んでます?
読んでます
責任のある回答でなくとも「それは普通はまずいよね」と言う感じでもなんでもいいのでご意見を伺いたいと思って質問させていただいております。
勿論法律やガイドラインには個人情報に関する記載はあると思いまが、実際にレンタルサーバーのデータベースに問い合わせフォームの情報を保持しているとなっているサイトもありましたので。
だからここでの回答なんて意味ないって回答してるんですけど。。。
こういった「良い悪い」を判定するためにセキュリティ要件を定め、それを基準に判断してください。
セキュリティ要件策定には、本来、攻撃方法の収集、脅威分析、守るべき情報の整理等々の段階を経るものですが、回答したようにすでにある基準を満たすかどうかで簡易的に策定可能です。IPA などを参照するのも良いと覆います。
ちゃんとするなら、メール送信の是非から検討したほうが良いです。
> 可能な限りのセキュリティを施す予定
本気なら以下を参考にどうぞ。
https://www.nisc.go.jp/active/general/pdf/kijyun30.pdf
ありがとうございます。
0
本気でやりたいならレンタルサーバーは使いません。
ただ、なんのためのデータベース利用なのかは一考した方が良いでしょう。
むしろ問題となるのは攻撃者ではなく
個人情報の取得、管理を行う側のモラルとルール徹底です。
多くは内部からのヒューマンエラーか情報漏洩です。
プライバシーマークなど含めて検討はした方がよいと思います(本気でやりたいなら)
投稿2019/12/09 02:15
編集2019/12/09 02:19総合スコア80875
本気でやるならレンタルサーバーを使わないというのは具体的にどういった理由なのでしょうか?
私が公開しているサイトは現在のレンタルサーバーのプランで必要十分だと考えております。
ご回答いただいた内容は顧客情報の保持に関してなのかそもそもサービスの提供にレンタルサーバーを使用するべきではないとのお考えなのかご教授ください。
データを外部に預けることになるわけですよね。
本来の管理責任はどこにあるか?考えればレンタルサーバーを選択肢には入れません。
ご回答ありがとうございます。
選択肢というのはどのようなものが挙げられるのでしょうか?
外部にデータを預けないとなると自社サーバーを設置する以外は思いつかないのですが、教えていただけると幸いです。
今だとAWSなどのサービスも充実してますね。
ご回答ありがとうございます。
確認を行い検討いたします。
ありがとうございました。
プライバシーマークと書きましたが、ISMSの方も必要ですね。
いずれにしても準拠したルール策定が必要です。
内部体制における徹底もです。
(それでも大企業では漏れてるのが実情ですけど)
0
ベストアンサー
専門外ですが、ちょっと興味が湧いたので軽く調べてみました。
レンタルサーバに共通する潜在的な危険性について
ここだと、特にレンタルサーバで個人情報を管理してはいけないと言っていませんが、
SQL データベースサーバーへのアクセスコードが盗聴された場合、データベースに格納された全ての情報が流出します。
と言ってますね。
完全なセキュリティというのは存在しない以上、万が一の自体にjnfklsbisnlkさんが責任を負えるかが重要だと思います。
それ以前にその個人情報が[本当に必要なのか]というところから問答したほうがよろしいのではないでしょうか。
お問い合わせフォームの設置に個人情報である名前、住所、電話番号等のデータが本当に必要なのでしょうか?(ショッピングサイトの問い合わせなら必要かもしれませんが)不必要に個人情報を持つということは漏洩時の責任が増大すると思われます。(少なくともその情報が必要な理由を外部に説明出来なければ駄目でしょう)
勿論可能な限りのセキュリティを施す予定
とはおっしゃいますが具体的なイメージとかは持っていらっしゃいますか?
セキュリティと一口に言っても、ソフトウェア、ハードウェア、人的なもの(最近廃棄業者のHDD転売で世界レベルの情報漏えいがありましたね・・・)
色々あると思います。
そのへんはIPAの資料が一番詳しく述べているので深追いしませんが、
そのセキュリティ対策に生じる費用分の効果が問い合わせフォームの設置(並びに個人情報の収集)に見合うのでしょうか?
また以下のサイトを見ていてもほぼ毎日の様に情報が漏洩したり技術的な穴をついた攻撃手法や脆弱性が発見されています。
SECURITY NEXT
ZDNet JAPAN
GIGAZINE Security
InternetWatch
IPA 情報セキュリティ
※上記はほんの一部です。他にも各アンチウィルスソフトのサイトでマルウェア調査ブログがあるので定期的に確認したほうがいいかもしれません。(マカフィー、カスペルスキー、ESET、トレンドマイクロ、AVAST、ノートン etc...[特に上記4つは更新頻度が高いのと詳しい説明があります])
つい最近だとHP製のストレージであるSAS SSDで稼働時間が3万2768時間(3年270日8時間)になった瞬間確実に全データが復旧不可能なレベルで壊れるという脆弱性が公開されていました。
「HPE SAS SSD」が約3年9カ月で障害、データ回復不能に - 早急に更新を
ご検討されているさくらレンタルサーバーがこの製品を使用していたら大問題ですよね。
毎日とは言いませんが、定期的にこれらの情報を確認し、自身が運用しているサーバやサイトでの脆弱性の監視、調査、対応が必要になると思います。サーバー側に影響する脆弱性が発見されたら早急にレンタルサーバの運営元に問い合わせ無いと行けないでしょうし、自身の実装側で使用しているライブラリの脆弱性が発見されれば脆弱性のレベルに応じて早急な対応が必要でしょう。
後は、m.ts10806さんの仰るようなPマークの取得といった内部体制の徹底やSurferOnWwwの仰る法務の方や弁護士など法律の専門家と相談をして検討されるのがよろしいのではないでしょうか。
長文失礼いたしました。
投稿2019/12/09 05:54
総合スコア179
ご回答ありがとうございます。
仰る通りだと思いますので検討いたします。
回答済みになってしまってはいますが、
ちょっと興味深いセキュリティサイトがあったので一つ貼らせて頂きます
[Kaspersky Cyberthreat real-time map]
https://cybermap.kaspersky.com/ja
リアルタイムでカスペルスキーが世界中で(地域別、国別も可能)検知、防御している攻撃とその種類が視覚的、グラフ的に確認できるサイトです。
0
さくらインターネットの基本約款をみると、さくらインターネットと契約し、さくらが提供するサービスを受けている利用者(つまり契約者)の責任となるようです。
なので、質問者さんのポリシーによるかと思います。
保存させたくないのであれば、お問い合わせフォームの内容を専用メールアドレスへ送信も手段かと思います。
また、レンタルサーバーはダメで、専用サーバーやアマゾンAWSなら大丈夫という話ではありません。
業界の一般論でいうならば、まずはプライバシーマーク制度について情報収集されてはいかがでしょうか。
投稿2019/12/09 02:59
編集2019/12/09 03:04
総合スコア239
ご回答ありがとうございます。
色々なご意見を頂いており少し混乱していますが、レンタルサーバーだろうと自社サーバーだろうとAWSだろうと適切なシステム構成やセキュリティ対策が施されていれば良いという結論になるのでしょうか?
プライバシーマークについては存在や概要は存じておりますが詳細について調べてみます。
ありがとうございます。
> 適切なシステム構成やセキュリティ対策が施されていれば良いという結論になるのでしょうか?
そうなるかと思います。最終的に個人情報を収集する側の責任となりますので。
レンタルサーバーの場合はその個人情報を収集する側の責任の範囲が自身の裁量外であるレンタルサーバーの脆弱性等が起因のトラブルについても及ぶ可能性があるのであまりよろしくないということも言えそうですね
色々ご指摘ありがとうございます
0
個人情報である名前、住所、電話番号等のデータはレンタルサーバー上のデータベースに保管してよいものなのでしょうか?
個人情報を質問者さんの管理外にあるレンタルサーバーとかに保存するのは基本的にダメだと思います。
レンタルサーバ会社と契約を結んで、情報漏洩に関する責任・保証を 100% レンタルサーバー会社に負わせることができれば話は別だと思いますが、普通そんなことはできないと思います。
であれば、それは管理者として無責任と言わざるを得ません。
投稿2019/12/09 02:26
退会済みユーザー
総合スコア0
ご回答ありがとうございます。
やはり顧客情報を保管するとなると自社サーバーを設置するしかないのでしょうか?
「自社サーバー」である必要はないと思います。自社サーバーでも管理がおろそかならダメですよね。
情報漏洩とかそこまで行かなくても消えてしまったりして、クレームや訴訟の嵐というような事態になっても、質問者さんがユーザーに対して 100% 責任を負えるか、社会的責任が果たせるかどうかという観点で考えるということになると思います。
ご回答ありがとうございます。
管理を十分に行うという前提で自社サーバー以外で顧客情報を保持するとなるとどの様な選択肢があるのかご教授いただければ幸いです。
> 顧客情報を保持するとなるとどの様な選択肢があるのかご教授いただければ幸いです。
質問者さんが自分の会社の法務とか弁護士など法律の専門家と相談して、リスクと費用・管理工数などを天秤にかけて、自社サーバーを立てるのか、クラウドを利用するのか決めるということになると思います。
上の回答に書いた「レンタルサーバーとかに保存するのは基本的にダメだと思います」という自分の意見は変わりませんが、もし、自分の会社の法務とか弁護士など法律の専門家と相談した上で○○レンタルサーバー会社なら良いという話になるのであれば、それもアリだと思います。
マイナス評価を付けた人、理由を書こう
> 個人情報を質問者さんの管理外にあるレンタルサーバーとかに保存するのは基本的にダメ
と言いますが、そうなると自分でサーバ購入して管理する以外はすべてアウトになりませんか?
自社サーバといってもデータセンターを使うなら結局それは外部管理されるわけですし、クラウドを使おうが外部にデータを置くことには変わりはないので、そういう意味では管理外です。
問題はそこではなく、情報をきちんと管理できているかのほうでは。
ここで一番気にしなければいけないのは改正個人情報保護法でしょう。
https://webtan.impress.co.jp/e/2017/05/30/25883
https://topcourt-law.com/internet_security/personal_information_third_party_offer
もちろん、預けるレンタルサーバが適切に個人情報を管理していなければアウトです。
「委託」として考えた場合でも、レンタルサーバの運営の規約をきちんと確認するなり、どのような体制で運営されているかなりをチェックするのがここでいう監督にあたるのかなと。
> と言いますが、そうなると自分でサーバ購入して管理する以外はすべてアウトになりませんか?
もう一度書きます。
質問者さんが自分の会社の法務とか弁護士など法律の専門家と相談して、リスクと費用・管理工数などを天秤にかけて、自社サーバーを立てるのか、クラウドを利用するのか決めるということになると思います。
上の回答に書いた「レンタルサーバーとかに保存するのは基本的にダメだと思います」という自分の意見は変わりませんが、もし、自分の会社の法務とか弁護士など法律の専門家と相談した上で○○レンタルサーバー会社なら良いという話になるのであれば、それもアリだと思います。
0
法律の話であれば、個人情報保護法の制約に従うことになります。
以前は5000人以下の情報しか取り扱わない場合は法律の対象外でしたが、現在は人数条件が無くなったので、1人分でもこの法律に従う必要があります(Wikipediaを見ると情報が古い!!)。
委託先の監督責任があります。レンタルサーバー会社のサーバーにファイルを置いていることがここで言う委託にあたるのかは専門家でない私には判断できません。
手元のPCのファイルにExcel等で保存する場合も、当然、この法律に従う必要があります。
メールで受けて、処理したらすぐ削除しているのであれば、おそらく対象外ですが、私は専門家ではないので。
Gmailとかのウェブメールで受信している場合などはどうなるんだろ?
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
に該当するかどうかですが。
投稿2019/12/09 03:28
総合スコア85891
ご回答ありがとうございます。
調べてみようと思います。
横から失礼します。
> Gmailとかのウェブメールで受信している場合などはどうなるんだろ?
メールの検索機能がありますので、該当するかなと思います。
その場合は、メールを取り扱う担当者やパソコンを限定したり、離席時はパソコンをロックさせたりする施策が必要かもですね。
「体系的に」が微妙な気がします。
メール管理をGoogleに委託していることになると思うので、
> その場合は、
個人情報に該当したら、Googleを監督しないといけませんよ。
あなたの回答
tips
プレビュー
