キンコミ kintone user community

みんなの投稿

2022/05/30 10:38

こんにちは。投稿は初めてです。
個人情報の取り扱いについて、皆さんどのようにされているのかご意見が聞きたくて投稿しました。

当社では、キントーンを5年ほど利用しております。
少しずつ色々な情報をキントーンで運用するようになり、便利になってきています。

その反面、個人情報を含むアプリも増えてきております。

「社外で閲覧しても大丈夫なのか?」
「会社として個人情報を保護するために、社外では強制的に閲覧できないようにした方がいいのでは?」(IPアドレス制限をかける)
「アプリの利用を禁止したほうがいいのでは?」

ユーザーに対して、データの閲覧制限を行うのではなく、この情報は社内では見せたい。家では見せたくない。

という話が出てきております。



リモートワークが定着しつつあるこのご時世に、社内・社外というのは古いのかもしれませんが、企業として個人情報保護について、どのように対応しているのか、何も語れないのもまずいのではないかと思っております。



皆さんは、キントーンにある個人情報の取り扱いはどのようにされていますか?もしくはどのように考えていますか?
よろしくお願いします。

3件のコメント (新着順)
ABCヨシダ
2022/06/01 16:59

西村さん

たくさん情報ありがとうございます!

今までは、基盤(サイボウズさん)がしっかりしているから大丈夫だろう。
とあまり気にしていませんでしたが、情報が増えたり、少しカスタマイズを入れてみたりとしているので、ご紹介いただいたサイトを見て、改めてこの分野も勉強しないといけないと感じました。

個人的にはセキュリティ対策のために、利便性をなくしてしまうのは悲しいのですが・・・。
会社として個人情報を守る義務があるので、知識をつけてうまく共存できればいいなと思います。

こんにちは。
私も個人情報の取り扱いなどセキュリティについて、いろいろ考えていましたのでとても参考になります。
現在は、IPアドレス制限を利用し、個人情報のあるアプリについてはほとんどの利用者には閲覧権限しか与えていませんが、将来的にシングルサインオンなども考えていて資料を集めているところでした。西村さんありがとうございます。
添付ファイルに関しては、私どもでは、別のクラウドサービスを利用し、アクセス権を閲覧のみに設定し、文字列一行フィールドへリンクを貼ることで、ダウンロードできないように設定しています。


ABCヨシダ
2022/06/01 16:49

たではらRさん

コメントありがとうございます。
添付ファイルは別クラウドサービスで、キントーンにリンクを貼る
っていいですね!
キントーンのディスク使用量も減りますし!!

koichi
開発
2022/05/30 12:28

ABCヨシダさん
こんにちは。



個人情報保護法の改正もありましたが、クラウドサービスを使用する以上、セキュリティは切っても切り離せない課題ですね。
社内・取引先に関わらず、社員に対しても社屋内・社屋外まで想定されるのは、セキュリティ意識が高く素晴らしいと思います。



私はIPアドレス制限をかけて、全ユーザーにクライアント証明書を導入しています。
その上でスペースを分けたり、アプリ・レコード・フィールド権限設定で、できる限りのアクセス制限をかけています。
取引先が複数いるため、組織間のアクセス権も有効にしています。



しかし、kintoneの設定ではどうしても限界があります。

❌同アカウントでログインする以上、社屋内・外からのアクセスは必ずしも禁止できない。
 (クライアント証明書をシステム管理者によってインストールし、各社員のPCの持ち帰りが不可であれば可)

❌アクセス時間帯を制御できない。
 夜間帯は使用禁止といった設定は不可

❌添付ファイルを制御できない。
 機密情報の載った生データが添付される可能性あり



kintoneに限ったことではないですが、やはり一番大事なことは社内ルールと社員教育を徹底すること。
例)このアプリには実名は記載しないで。
  こっちアプリは取引先も使うから、社内的なコメントはあっちのアプリを使って。など



kintoneを万全にしても、別のところで漏洩したらアウトです。

私は毎年サイボウズさんと連携サービス開発元の管理運営に問題がないか、セキュリティチェックも合わせて実施しています。

cybozu.com セキュリティチェックシート



社外に対して閲覧のみで良ければ、kViewerなども良いと思いますよ。



(一般的なサービスでは取り入れられていますが)
kintone上で取引先やお客様から個人情報を収集する際は、個人情報の利用目的を示して「同意する」にチェックを入れてもらうなどの仕組みもあった方が良いですね。


ABCヨシダ
2022/05/30 13:37

koichiさん
ありがとうございます!

社屋外でチェックできて便利なデータもあるのですが、一部の個人情報を含むアプリがあるために、全てを閲覧できないようにするのも、もったいないなと思うのです。

IPアドレス制限を検討中なのですが、アプリ毎に社屋外閲覧OK・NGができれば便利だなと個人的に思います。

koichiさんが挙げてくれた「アクセス時間帯によっての制限」もいいですね!欲しいです!
添付ファイルのチェックができないのは盲点でした。なるほど気を付けます。

キントーンに限らず、クラウドサービスが増えているので、まずは社内ルール、社内教育を徹底しないといけないなと感じております。

セキュリティチェックシートというものがあるのを知りませんでした。参考にします。ありがとうございます!

ABCヨシダさん
koichiさん

セキュリティ関連のお話、
ちょうど私も、その関連で色々考えてることがありましたので大変参考になりました。

そうですね。セキュリティについてはこれだけやったらOKというのはないので
多方面(ハード・ソフト・教育)の対策が必要になってきますね。社内でそのような意識が高まっておられるご様子で、すばらしいと思います。

となると、話はkintoneだけではない範囲に及びますので
既に作成されているかもしれませんが、情報セキュリティポリシーなど、会社としてよりどころとなる指針があればよいですね。
関連情報としては、IPAのサイトが資料も豊富でよくまとまってると思います。
https://www.ipa.go.jp/security/keihatsu/sme/guideline/

複数のクラウドサービスをご利用ならHENNGE Oneなどはシングルサインオンのメリットもありますのでご相談されてみてもいいかもしれません。

以前、kintoneのセキュリティ設定について投稿ありましたので参考までにリンク紹介します。
https://kincom.cybozu.co.jp/chats/g0izlzjl5qehwdhx

cybozu.com セキュリティチェックシート、私も活用します!