トップ > みんなの投稿 > アイデア募集 > 自社にて、顧客情報などの個人情報をkinto... goe 卸売業、小売業 2025/10/09 17:14 自社にて、顧客情報などの個人情報をkintone上で管理する運用になりつつあります。 そこで、下記内容について悩んでおります。 ・個人情報をkintoneにアップロードしても問題ないでしょうか? ・アプリ単位でアクセス制限をかけるだけで、漏洩リスクは十分に抑えられるでしょうか? 他にも注意すべき点があれば教えていただけると助かります。 自社にて、顧客情報などの個人情報をkintone上で管理する運用になりつつあります。 そこで、下記内容について悩んでおります。 ・個人情報をkintoneにアップロードしても問題ないでしょうか? ・アプリ単位でアクセス制限をかけるだけで、漏洩リスクは十分に抑えられるでしょうか? 他にも注意すべき点があれば教えていただけると助かります。 いいね 共有する 共有する X facebook LINE リンクをコピー トークにコメントする 2件のコメント (新着順) ミュートしたユーザーの投稿です。 投稿を表示 なっちゃん 情報通信業 2025/10/10 07:58 goe はじめまして。 弊社の場合は、2ステップで社内審査を経ていく感じで運用しています。 井上さんも書かれている通り、ISMAPへの記載というのが大きなアドバンテージになるので クラウドサービスの利用→ 1.自主チェックのみ ↓ 取り扱う情報に個人情報・社員情報が含まれている場合 2.セキュリティ専門部署へクラウドサービスへの個人情報を格納してもよいかの事前チェック依頼 Kintoneの契約時、連携サービスのCustomineの契約時には、2〜3週間ほど審査に要しました。 Kintone本体だけではなく、アプリ単位で審査依頼出してね。とセキュリティ専門部署に言われてるので、各部署から申請する際のアドバイスも行なっていたりします。 権限については、部内共通以外は、必要な方以外はアクセスできないようにアプリ単位で細かく設定してます。 3ヶ月に一度、アカウントの棚卸しもしています。 顧客情報・問い合わせ情報がたくさん扱ってたりするので。 それぞれの会社でセキュリティへの考え方の違いがあるかもですので、色々と問い合わせながら、進めていけることを応援しております。 いいね 返信する ミュートしたユーザーの投稿です。 投稿を表示 goe 卸売業、小売業 2025/10/10 08:50 なっちゃん ご意見いただきまして、ありがとうございます。 kintoneがISMAPに登録されていることは、安心要素であると感じております。 となると、やはり運用面が非常に重要(というかそれに尽きる)ということですね。 御社だと、個人情報が含まれるアプリに関しては全てセキュリティ専門部署が確認し、定期的な棚卸を実施しておられるんですね。 それくらいを弊社でも実施できたらと模索しておりますが、現状、アプリ数と比較して確認者のマンパワー不足を感じております。 誰がどのように、どこまで管理するかを社内でもう少し検討したいと思います。 また、このような質問をさせていただくかもしれませんが、その際はどうぞよろしくお願いします。 いいね 返信する ミュートしたユーザーの投稿です。 投稿を表示 井上望 2025/10/09 17:50 goe お疲れ様です。 kintone自体は、以下の通りISMS認証の取得、ISMAPへの記載等、高いセキュリティを確保しています。 https://kintone.cybozu.co.jp/feature/security/ 一方、kintoneの契約ドメイン内のセキュリティは、「どのような運用をするか」で大きく変わります。 例えば、ある程度の権限を持つアカウントの一つが分かりやすいパスワードだったりすれば、そのアカウントが侵害されてしまうと、情報はダダ漏れになってしまいます。特にCSVエクスポートが有効にされていれば短時間で多くの情報が漏洩してしまうかもしれません。 サイボウズ社がガバナンスガイドラインを提供していますし、IT全体の一般的なガバナンスはネットや書籍で多く解説されていますので、一度読んでみることをおすすめします。 https://pg.cybozu.co.jp/kintone-governance_guideline-dl-application.html また、そもそも自社のセキュリティポリシーでクラウドの取り扱いがどうなっているかの確認も必要かと思います。 厳しい企業では、公開情報以外はクラウド利用不可なんてところもあったりします。 もし、セキュリティポリシー自体がないor曖昧な場合、組織としてその辺りを定める良い機会かもしれません。 使いやすく、安全なクラウド利用となるよう、頑張ってください。 いいね 返信する ミュートしたユーザーの投稿です。 投稿を表示 goe 卸売業、小売業 2025/10/09 19:00 井上望 貴重なご意見ありがとうございます。 参考にさせていただきまして、社内で相談してみます。 現状、弊社のセキュリティポリシーに関しては、ここ数年で話題として上がってきておりまして、順々に整備しているところです。なので、まだできていないSaaSもチラホラあります。 また、サイボウズ社のガバナンスガイドラインを拝見させていただき、弊社のセキュリティ責任者とかに相談してみようと思います。 いいね 返信する
共有する
ミュートしたユーザーの投稿です。
投稿を表示はじめまして。
弊社の場合は、2ステップで社内審査を経ていく感じで運用しています。
井上さんも書かれている通り、ISMAPへの記載というのが大きなアドバンテージになるので
クラウドサービスの利用→
1.自主チェックのみ
↓
取り扱う情報に個人情報・社員情報が含まれている場合
2.セキュリティ専門部署へクラウドサービスへの個人情報を格納してもよいかの事前チェック依頼
Kintoneの契約時、連携サービスのCustomineの契約時には、2〜3週間ほど審査に要しました。
Kintone本体だけではなく、アプリ単位で審査依頼出してね。とセキュリティ専門部署に言われてるので、各部署から申請する際のアドバイスも行なっていたりします。
権限については、部内共通以外は、必要な方以外はアクセスできないようにアプリ単位で細かく設定してます。
3ヶ月に一度、アカウントの棚卸しもしています。
顧客情報・問い合わせ情報がたくさん扱ってたりするので。
それぞれの会社でセキュリティへの考え方の違いがあるかもですので、色々と問い合わせながら、進めていけることを応援しております。
ミュートしたユーザーの投稿です。
投稿を表示お疲れ様です。
kintone自体は、以下の通りISMS認証の取得、ISMAPへの記載等、高いセキュリティを確保しています。
https://kintone.cybozu.co.jp/feature/security/
一方、kintoneの契約ドメイン内のセキュリティは、「どのような運用をするか」で大きく変わります。
例えば、ある程度の権限を持つアカウントの一つが分かりやすいパスワードだったりすれば、そのアカウントが侵害されてしまうと、情報はダダ漏れになってしまいます。特にCSVエクスポートが有効にされていれば短時間で多くの情報が漏洩してしまうかもしれません。
サイボウズ社がガバナンスガイドラインを提供していますし、IT全体の一般的なガバナンスはネットや書籍で多く解説されていますので、一度読んでみることをおすすめします。
https://pg.cybozu.co.jp/kintone-governance_guideline-dl-application.html
また、そもそも自社のセキュリティポリシーでクラウドの取り扱いがどうなっているかの確認も必要かと思います。
厳しい企業では、公開情報以外はクラウド利用不可なんてところもあったりします。
もし、セキュリティポリシー自体がないor曖昧な場合、組織としてその辺りを定める良い機会かもしれません。
使いやすく、安全なクラウド利用となるよう、頑張ってください。