Click here to visit our sponsor 


---------------------------------------------------------------------
(設問ア)
---------------------------------------------------------------------
1.情報システムの概要
---------------------------------------------------------------------
1.1.新しいウェブサイト
----
 当社は年商約一千億円、従業員数約千人の総合酒類メ
ーカーである。当社では6年前からホームページを開設
し、会社の紹介や製品の案内等を行ってきた。しかし、
そのホームページのコンセプトは6年前から基本的に変
わっておらず、陳腐化、マンネリ化した感があった。
 昨今の不況下において酒類の収益性は低下しており、
市場全体の伸びも殆ど期待できない。そこで、インター
ネットを利用した新しいマーケティング手法が検討され、
このたび、全く新しいウェブサイトを開設することにな
った。このサイトは従来のホームページとは別個のもの
で、運営も新たに設立した子会社で行っている。
 このサイトは一般の利用者がある程度の情報を見るこ
ともできるが、基本的には会員制となっている。会費は
無料であり、会員登録すると、メールマガジンの配信を
受けられるほか、懸賞への応募権や掲示板への書き込み
権などが得られる。数ヶ月後には、会員への通信販売や
有料の情報提供サービスも開始する予定である。
 私はこのサイトを開設するプロジェクトに上級システ
ムアドミニストレータとして参加した。
----
1.2.会員の登録情報の取扱い
----
 会員登録するためには、所定のページに氏名、住所、
年齢、職業等の情報と電子メールアドレスを入力し、更
にアンケートに解答して送信することになっている。こ
の際に、IDとパスワードも各自で決めて入力し、重複
がなければそのまま登録されるシステムとなっている。
 このようにして送信された会員情報はデータベースに
蓄積され、アンケートの集計結果は随時マーケティング
に反映される。また、会員制通信販売を開始する際には
このIDとパスワードが申込者の確認に、住所等の情報
が配送先の情報として利用される予定である。
(設問ア800字ライン)
---------------------------------------------------------------------
(設問イ)
---------------------------------------------------------------------
2.会員情報保護のための施策
---------------------------------------------------------------------
2.1.会員情報の収集
----
 入会希望者が個人情報を送信しようとする場合には、
次の二つの問題が考えられる。
1)情報の誤入力とID等の忘却
 電子メールアドレスや電話番号の入力に誤りがあった
場合、会員として希望するサービスが受けられなくなる
恐れがある。また、IDやパスワードを忘れた場合、希
望するサービスが受けられなくなる。
2)送信中の情報の漏洩
 登録内容がインターネット経由で送信されるため、悪
意ある第三者に情報を盗まれる恐れがある。
 以上に点の問題については、それぞれ以下のような対
策が講じられている。
 1)については、登録内容確認のページを設け、また登
録確認のメールを自動返信することによって、入会者が
登録内容及び登録された事実を確認できるようにした。
また、入力内容に少しでもミスが少なくなるように、ヒ
ューマンインターフェースの設計、レビューには十分な
配慮をして、フールプルーフを徹底して誤入力を少なく
する方策を講じた。郵便番号と住所の整合性のチェック
機能や、電話番号の桁数チェック機能なども設けた。
 2)については、登録画面は暗号化して通信するシステ
ムとした。暗号化については近年普及している2種類の
ブラウザの最近数年に普及したヴァージョンすべてで対
応できる方式を採用し利便性を図った。
----
2.2.会員情報のデータベース
----
 データベースに蓄積された会員の個人情報に想定され
るリスクとしては、情報の消滅と漏洩が考えられる。
 これらの対策として、サーバを堅固で人の出入りが管
理されている建物内に設置するとともに、ディスクミラ
ーリングによって信頼性を高めている。また毎日1回、
データを暗号化して、別の都市にあるサーバに送ってバ
ックアップを取るようになっている。更に、これらのサ
ーバへのアクセスはIDとパスワードによって厳重に管
理されているのみならず、それぞれのサーバの前には専
用のファイアウォールを設け、指定されたIPアドレス
のコンピュータ以外からのアクセスを禁じている。
----
2.3.会員情報の利用
----
 登録された会員の個人情報は、会員へのサービス及び
会員との取引以外には利用されないことになっている。
しかし、当社またはサイト運営会社が新しいサービスを
開始した場合、それを予期していなかった会員から苦情
を受ける恐れがある。その対策として、会員と当社およ
び運営会社の間の権利・義務を明確化した規約を設けて
いる。
 また、会員が自らの登録した情報を利用してサービス
の申込などを行っている際、IDとパスワードが漏洩し
て第三者に悪用される可能性も懸念される。会員にはパ
スワードを定期的に変更し、絶対に他人には知られない
ように注意を促している。
----
2.4.会員情報の提供
----
 会員の個人情報が第三者に提供され利用された場合、
会員が不愉快な思いをしたり、不利益をこうむったりす
る恐れがある。当サイトの会員規約では、会員のいかな
る個人情報も、個別に第三者に提供されることはないと
定められている。ただし、集計された統計情報としては
公開されることがあるとされている。
---------------------------------------------------------------------
(設問ウ)
---------------------------------------------------------------------
3.会員情報管理の適切性の監査
---------------------------------------------------------------------
3.1.会員情報の収集過程の鑑査ポイント
----
 会員としてサービスを受けるために必要な個人情報が
正しく登録されているか、またそれらの情報が送信され
てからデータベースに収められるまでのセキュリティ対
策は万全であるかについて監査する。
----
3.2.会員情報データベースの監査ポイント
----
 災害による物理的傷害を出来得る限り防ぐことができ
る場所にサーバが設置されているか、またサーバが設置
されている部屋あるいは建物への人の出入りは正しく管
理されているかについて監査する。また、バックアップ
は正しく安全に行われているか、外部から本体及びバッ
クアップ用のサーバへの不正なアクセスの形跡はないか
について監査する。
----
3.3.会員情報利用に関する監査ポイント
----
 登録された個人情報を個別に取り出す作業の有無につ
いて調べる。そのような作業がある場合には、アクセス
できる人間の特定と利用目的等の実態について監査する。
 また、IDやパスワードが不正に利用されたとの会員
からの届出がないかについても監査する。
----
3.4.会員情報の提供に関する監査ポイント
----
 会員の個別の個人情報が第三者に提供されていること
はないか、また情報を集計して第三者に提供あるいは公
に発表されている場合、特定の個人あるいは集団につい
ての情報が類推できる状態になっていないかについて監
査する。
(設問イ・ウ 計2100字ライン)
[ 戻る ]