プライバシーマーク取得にむけて

【この記事の所要時間：約 2 分】

本日も会社が終わってから新宿へ。
プライバシーマークを取得するために講師からのレクチャー。
今回は、個人情報に関わる業務一覧を見ながら、いろいろと話をする。
契約については、瑕疵担保にセキュリティの項目を入れるか入れないかがポイントで、入れないためにはそれなりの提案は行ったが、クライアントに受け入れられなかった・・・みたいな言い訳が必要みたい。
ユーザー入力系のセキュリティチェック（ＳＱＬインジェクションとか）を業者に頼むと２０万円/１画面くらい取られるとのこと（高い！！）
ということで、自分達でできることは、
　・リバースプロキシを使って不正アクセスを検知する仕組みを作る（ガーディアンなど）
　・アパッチのモジュールとしてある程度の攻撃パターンを書き込んだセキュリティモジュール
　　を組み込ませる
の２点くらいかな〜と。
あと、セッション管理系はやっぱりセッションハイジャックを防ぐための仕組みを当たり前に実装するとか、HTTPで外部からアクセスさせるならＩＰでしぼるとかを手順書に書け！といわれた。
サンプルがＪＮＳＡのサイトにのってるらしいので参考にしてとりあえず書いていこうと思う。
来週のレクチャーはお休みなので、たたき台となる書類は作っておきたい。
この前買った「プライバシーマーク自社取得術」の本についていたＣＤの中に手順書のスケルトンなどが入っているらしいのでそれを参考にしよう。
プライバシーポリシーあたりが時間かかりそう。