ある日Pマーク担当になった人のために 第3回 「プライバシーマーク審査の実態その2」

  • 2016/5/12
  • ある日Pマーク担当になった人のために 第3回 「プライバシーマーク審査の実態その2」 はコメントを受け付けていません。
2016/05/12
プライバシーマーク審査のイメージ画像

読者の皆様こんにちは。前回に引き続き、今回は審査を受ける際のポイントについて解説しようと思います。

現場審査~個人情報の取り扱い状況の実態調査

実態調査とは言っても、実際にヒアリングの対象になるのは個人情報保護管理者です。

ただし、個人情報保護管理者が業務実態を把握できていない場合は、業務がわかる担当者をアサインすることを依頼されます。

実際の審査は次のような方式で進んでいきます。

業務の流れ確認

個人情報取扱業務について、内容の確認を行います。

その際にポイントとなるのは、第1回のコラムで寄稿した、個人情報の取得から廃棄までの流れに関するところです。

その際に確認されるのは、明示的な同意がなされているか、また、明示的な同意が記録の残るものである場合、記録があるか。

というところです。

さらに、そこで想定されるリスクが対応できているかも確認のポイントとなります。

特にセキュリティリスクは審査員により大幅に評価が異なります。

しかし、重要なことは合理的な対策がとられているか、というところであるため、実際に審査で指摘になりそうなときには、なぜその対策が必要であるか、また、その対策を実施することが本当に可能なのか、といった観点から折衝することをお勧めいたします。

必ずしも、審査員の評価は正しいとは限らないため、審査員の指摘をうのみにすると、過度な対応やコストをかけることになりかねません。

情報システムのセキュリティ確認

情報システムのセキュリティについては、主に次の点を確認します。

  • アカウント管理
  • アクセス制限
  • ログ
  • ウィルス対策

アカウント管理の際に重視されるのは、共有アカウントの有無についてです。

共有アカウントが存在する場合、後述のアクセス制限も、ログの取得も全く役に立たなくなってしまいます。

少なくとも、ユーザには固有のIDを割り振るようにしましょう。

また、パスワードの共有は絶対許可しないようにご注意ください。

アクセス制限のポイントは、実際にファイルを開くことや、閲覧することが可能かどうかというところです。

例えば、ファイルそのものの存在を見ることはできたとしても、パスワード等の制限がかけられていることで、開くことはできないようになっている、などの対策も有効です。

ログについては、取得していることはもちろんですが、分析しているかが確認のポイントとなります。

プライバシーマークの基準上はログについて何のログであるかは特定されていませんが、確実に確認されるのはアクセスのログになります。

不正アクセスがないかが確認のポイントとなるため、例えば、ログイン失敗のログや、アクセス障害のログなどをチェックポイントの対象としておく必要があります。

また、チェックの記録は確実に要求されるので、チェック記録は日誌や管理簿などでつけておくようにしましょう。

ウィルス対策は必須です。

もちろん、ウィルス対策ソフトをインストールすることは当然ですが、きちんとアップデートされているかも確認のポイントとなります。

 

その際に、ウィルス対策ソフト以外にも、OSや、Flashなど、不正攻撃のターゲットにされやすいものも確認されることがあります。

施設の安全対策

施設に関する安全対策は、施設によって異なるのですが、確実にチェックされるのは、入退室の記録についてです。

最終退室者の記録は必ずチェックされるポイントです。

また、第三者の入室についても、記録されているかが確認されます。

どちらも、明確な記録が求められるため、入退室の管理簿などつけておく必要があります。

これらの対策が求められるのですが、前述のとおりセキュリティ対策は企業によってレベルの差もありますし、環境によってもできることが異なってくるため、自社で取られている対策が合理的であると説明できる状態を保っておくようにしましょう。

次回は個人情報保護法についてです。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

ピックアップ記事

  1. 2018/06/27 あと1年半まで迫ったWindows 7のサポート終了。しっかりとしたPC…
  2. 2018/06/25 【時代は変わるよどこまでも】時代はスマホファーストに完全移行し、PCが使…
  3. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  4. 2018/06/18 過去の記事にて、今、「攻めの情シス」に注目が集まっていることを紹…
  5. 2018/06/11 【無限ループ】情シス本来の仕事を鈍化させるヘルプデスクの怪 ITで困っ…
  1. 情シスの集い「PCNW」2018・東京大会レポート

  2. いまさら聞けない【情シス基礎知識】そういえば、基幹システムってなに?

  3. 【情シス女子】第41回「これぞISO総研だというサイトをつくっていきたい!」永見花奈さん

  4. ハイブリィド、情報システム部門採用に特化した人材紹介サービス「情シスCareer」をスタート

  5. ハイブリィド、AIを活用した情報システム部門の業務負荷を軽減する「IT-Manager SD」をリリース

  6. ハイブリィド、ビジネスとテクノロジーをリードする情報システムに特化した教育研修「ITマネジメントスクール」を開講

  7. 【情シス講座】サポート終了目前のWindows7!Windows10への移行で知っておくこと

  8. 【情シス マネジメント】人材パラダイム! スマホネイティブ世代との向き合い方

  9. 【情シス基礎知識】情シスも知っておきたい「管理会計」

  10. 【情シス講座】今、「情シス」に求められるスキルとは?

関連サイト

情シス採用 人材紹介サービス


 
情シスの戦略・企画人材育成


 
情シス向け業務支援ツール

新着記事

  1. 2018/07/13 今年も年に一度のPCNW大会がスタート 「PC・ネットワークの管理…
  2. 2018/07/12 9日、 IDC Japanは国内ソフトウェア市場の2017年の実績と20…
  3. 2018/07/11 “基幹業務”、“基幹系”、“バックオフィス系”とさまざまな呼び方がある「…

おすすめ記事

  1. 2018/06/15 Windows7のサポート終了までおよそ1年半。Windows10への移…
  2. 2018/05/23 時代のクラウド移行の流れもあり、Office365を導入する企業が増えて…
ページ上部へ戻る