パンデミックの際に多くの企業が気づいたことの1つに、リモートワークを可能にするテクノロジーの力が挙げられます。SurveyMonkeyの元CIO、Eric Johnsonが述べたように、パンデミックは、ITに事業運営を完全に考え直させるきっかけとなりました。しかし、パンデミックに起因するリモートワークとデジタル変革により、産業界におけるデータ侵害の平均総コストも増加しました。17ヶ国で発生した537件のデータ侵害についてIBMが行った調査によれば、リモートワークが侵害に関係していたケースの平均コストは、リモートワークが関係していないケースに比べて、107万ドル高くなっています。
米国の公認会計士協会(AICPA)がサービス組織向けに開発したSOC報告書など、ベンダーがデータをどのように管理・処理しているかを顧客に知らせて安心してもらうための業界標準が作成されています。SOC 2は、サービス組織が顧客データの処理に使用しているシステム・処理と、データの機密性・プライバシーについて保証する独立した監査手順です。昨今、SurveyMonkeyは、ISO 27001認証に加えて、このSOC 2 Type 2認証を取得しました。
SOC 2 Type 2認証の取得には多大な労力が必要であり、お客様にとっては、SurveyMonkeyが確立されたプロセスを通じてデータを安全に管理し、ワールドクラスのセキュリティプログラムを実施していることの証明となります。
顧客にとってSOC 2 Type 2認証が意味するもの
顧客データの管理に関するSOC 2の基準には、セキュリティ・利用可能性・機密性の3つの信頼サービス原則が適用されています。
- セキュリティとは、サービス組織がシステムリソースを不正なアクセスから保護することを指します。
- 利用可能性とは、サービス組織がシステムやサービスの利用可能性を、契約やサービスレベル合意書で規定されているとおりに保証することを指します。
- 機密性とは、データの使用を特定の人物または組織に限定し、送信時には暗号化を通じてデータを保護することを指します。
SurveyMonkeyは、お客様の企業情報を安全に保護する責任を真剣に受け止めています。SurveyMonkeyの製品やインフラストラクチャ、プロセスのすべてにセキュリティが組み込まれています。
SurveyMonkeyのデータセキュリティ管理
SurveyMonkeyでは、顧客データをそのライフサイクル全期間にわたって適切に扱うために、暗号化、アクセス制御、Need-to-Knowの原則を使用しています。グローバルなトラスト&セキュリティチームが、1日24時間、セキュリティ態勢を監視・管理し、セキュリティコンプライアンスや訓練、業務運営、インシデントレスポンスを担っています。
データは、パブリッククラウドでホスト・管理されたSurveyMonkeyのインフラストラクチャ上にあります。SurveyMonkeyでは、厳格なデータ保護プロセスへの順守を実証したパブリッククラウドベンダーのみを選択しています。さらに、厳格なセキュリティテストを実施し、セキュリティ インシデント レスポンス ポリシーを施行しています。SurveyMonkeyは、これらのプロセスにより、Webサービスにおいて99.9%というアップタイムを実現しています。
SurveyMonkeyの重要なセキュリティ戦略の1つは、事業と関連性の高い業界規制に準拠し、その適用範囲を拡大することです。SOC 2 Type 2認証以外にも、複数のサードパーティーと協力し、ISO 27001やPCI DSS 3.2などに従って製品の監査・認定を行っています。
SurveyMonkeyが法人・個人のお客様のデータをどのように保護しているか、セキュリティについて詳しくご確認ください。