2026-04-21

情報セキュリティへの取り組み:PyCon JPを「継続」させるための一歩

一般社団法人PyCon JP Association運営メンバーの寺田です。

1. はじめに:透明性を持って「仕掛品」を共有する理由

一般社団法人PyCon JP Associationは、2025年7月より組織の情報セキュリティ体制を見直すプロジェクトを開始しました。現在、2026年4月を迎え、基本方針の策定を終えて具体的なツールの運用ルールを定着させる「実装フェーズ」にあります。

当法人はボランティアによって支えられています。今回の活動報告では、私たちがどのような議論を経て情報を守ろうとしているのか、そのプロセスを共有します。 情報をオープンにすることで、みなさんからより良いフィードバックを得るとともに、他のコミュニティの参考になればと考えています。

2. 取り組みの背景:なぜボランティア組織が「守り」を固めるのか

Pythonコミュニティが拡大し、PyCon JPに関わる登壇者、参加者、スポンサー企業といった関係者は年々増加しています。組織としての公共性が高まる中、私たちは「非営利・ボランティア組織であっても、社会から信頼される存在であり続けるために、情報の漏洩や紛失を防ぐ責任がある」と考えています。

この活動の根底には、以下の3つの守るべき価値があります。

  • 信頼の維持:預かっている個人情報や企業情報を、適切に使用する。
  • 継続性の確保:情報事故による活動停止リスクを最小化し、PyCon JPを未来へつなげる。
  • ミスを防ぐ仕組みの提供:運営スタッフが「うっかりミス」を恐れすぎず、安心して作業に集中できる環境を作る。

3. これまでの歩み:約80種類の情報資産と向き合った半年間

2025年7月、私たちは外部専門家をお迎えし、そこから月2回程度の、作業会を積み重ねてきました。
最初に行ったのは、徹底的な「情報資産の棚卸し」です。私たちが何を、どこで、誰が扱っているのか。洗い出された資産は約80種類にのぼりました。各種個人データからサービスのアカウント情報、サービス利用方法まで、その現状把握こそが、実効性のある対策の第一歩となりました。




棚卸しした資産を機密性・完全性・可用性の3軸で評価し、さらに「紛失」「不正アクセス」「設定ミス」といった具体的な脅威シナリオ分析を行いました。評価値が「高リスク」と判定されたものから重点的に対策を講じています。

4. 信頼の礎としての「情報セキュリティ基本方針」と「監査ルール」

私たちは検討を重ね「情報セキュリティ基本方針」を2025年9月に公開し、その後、2026年1月に「監査ルール」を一般社団法人PyCon JP Association理事会で以下のように合意しました。私たちの目指すセキュリティ対策は企業に求められるISMSなどではなく、コミュニティベースに見合った「無理のない範囲での実践」です。

特筆すべきは、コミュニティ内のプライバシーを守るために策定した「監査ルール」です。

  • 独断による閲覧の禁止:管理者が単独で他人のログや通信を閲覧することはありません。
  • 理事会の合意:問題発生時や法的な開示要請があった場合のみ、理事会の80%以上の賛成を経て、指名された複数の担当者(外部専門家を含む)が調査にあたります。
  • 相互牽制:最低2名以上のチームで作業を行い、互いの操作を監視する体制を整えています。

「システム的にできること」と「組織としてやってはいけないこと」を明確に切り分ける。これがボランティア組織における信頼の形だと考えています。

5. 具体的な対策:ツールごとの最適解と「非営利の利点」の活用

利便性と安全性のバランスを考慮し方針を定め、以下の具体的な施策を進めています。
なお、一般社団法人PyCon JP Associationでは、以下のサービスを非営利団体向けのプランを適用していただき、無料で利用しております。今回の対策において、Google Workspace for Nonprofitsのアカウントを中心にしたアカウント管理に移行します。

Google Workspace

  • 個別アカウント(@pycon.jp)の全員配布

  • 非営利団体向けプランの活用

Slack

  • 関係者の集まり・関係性重視のためルール変更なし

  • プランの制約と文化による補完

  • ファイル保持期間の設定

Jira

  • ドメイン認証の実施

  • 認証強化

6. コミュニティとしての想い:熱意を削がず、責任を果たす

このセキュリティ対策の活動は、コミュニティを規制で縛り付けるためのものではありません。むしろ、コミュニティメンバーのみなさんが「自分のミスでPyCon JPに対して重大なセキュリティ上の問題を発生させてしまうのではないか」という不安から解放されるための「土壌作り」です。

7. おわりに:これからの展望

情報セキュリティに「完成」はありません。状況の変化に合わせ、運用ルールを継続的に見直していく必要があります。
今後は、現メンバーに向けた研修を実施し、丁寧に説明をおこないます。メンバーのみなさんにはログインと2FAの設定をお願いしていきます。ご協力をお願いいたします。

 



投稿者 時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)