ある日Pマーク担当になった人のために 第3回 「プライバシーマーク審査の実態その2」

  • 2016/5/12
  • ある日Pマーク担当になった人のために 第3回 「プライバシーマーク審査の実態その2」 はコメントを受け付けていません。
2016/05/12
プライバシーマーク審査のイメージ画像

読者の皆様こんにちは。前回に引き続き、今回は審査を受ける際のポイントについて解説しようと思います。

現場審査~個人情報の取り扱い状況の実態調査

実態調査とは言っても、実際にヒアリングの対象になるのは個人情報保護管理者です。

ただし、個人情報保護管理者が業務実態を把握できていない場合は、業務がわかる担当者をアサインすることを依頼されます。

実際の審査は次のような方式で進んでいきます。

業務の流れ確認

個人情報取扱業務について、内容の確認を行います。

その際にポイントとなるのは、第1回のコラムで寄稿した、個人情報の取得から廃棄までの流れに関するところです。

その際に確認されるのは、明示的な同意がなされているか、また、明示的な同意が記録の残るものである場合、記録があるか。

というところです。

さらに、そこで想定されるリスクが対応できているかも確認のポイントとなります。

特にセキュリティリスクは審査員により大幅に評価が異なります。

しかし、重要なことは合理的な対策がとられているか、というところであるため、実際に審査で指摘になりそうなときには、なぜその対策が必要であるか、また、その対策を実施することが本当に可能なのか、といった観点から折衝することをお勧めいたします。

必ずしも、審査員の評価は正しいとは限らないため、審査員の指摘をうのみにすると、過度な対応やコストをかけることになりかねません。

情報システムのセキュリティ確認

情報システムのセキュリティについては、主に次の点を確認します。

  • アカウント管理
  • アクセス制限
  • ログ
  • ウィルス対策

アカウント管理の際に重視されるのは、共有アカウントの有無についてです。

共有アカウントが存在する場合、後述のアクセス制限も、ログの取得も全く役に立たなくなってしまいます。

少なくとも、ユーザには固有のIDを割り振るようにしましょう。

また、パスワードの共有は絶対許可しないようにご注意ください。

アクセス制限のポイントは、実際にファイルを開くことや、閲覧することが可能かどうかというところです。

例えば、ファイルそのものの存在を見ることはできたとしても、パスワード等の制限がかけられていることで、開くことはできないようになっている、などの対策も有効です。

ログについては、取得していることはもちろんですが、分析しているかが確認のポイントとなります。

プライバシーマークの基準上はログについて何のログであるかは特定されていませんが、確実に確認されるのはアクセスのログになります。

不正アクセスがないかが確認のポイントとなるため、例えば、ログイン失敗のログや、アクセス障害のログなどをチェックポイントの対象としておく必要があります。

また、チェックの記録は確実に要求されるので、チェック記録は日誌や管理簿などでつけておくようにしましょう。

ウィルス対策は必須です。

もちろん、ウィルス対策ソフトをインストールすることは当然ですが、きちんとアップデートされているかも確認のポイントとなります。

 

その際に、ウィルス対策ソフト以外にも、OSや、Flashなど、不正攻撃のターゲットにされやすいものも確認されることがあります。

施設の安全対策

施設に関する安全対策は、施設によって異なるのですが、確実にチェックされるのは、入退室の記録についてです。

最終退室者の記録は必ずチェックされるポイントです。

また、第三者の入室についても、記録されているかが確認されます。

どちらも、明確な記録が求められるため、入退室の管理簿などつけておく必要があります。

これらの対策が求められるのですが、前述のとおりセキュリティ対策は企業によってレベルの差もありますし、環境によってもできることが異なってくるため、自社で取られている対策が合理的であると説明できる状態を保っておくようにしましょう。

次回は個人情報保護法についてです。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

ピックアップ記事

  1. 2018/4/9   まさに熱狂といった言葉が相応しく、大盛況で幕を閉じた第1回目から約…
  2. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  3. 本用語辞典は「ITの知識がある人向け」「ITが苦手な経営者向け」そして「小学生向け」と3パターンの説…
  4. 今回の情シス女子は、アクサ生命保険の南嶋千春さんです。南嶋さんが今携わっているのが、短期間でソフトウ…
  1. BC Vol:01「何が入っているの?ブロックチェーンの気になる中身

  2. 「日本のエンジニアの給料は高いか、安いか」

  3. IoT Vol:0「考える前に、事例でサクっとわかるIoT!!」

  4. 【第2回AI・人工知能EXPO】進化やまないAIサービスの最前線を突撃レポート!!

  5. BC Vol.0 ブロックチェーンとはいったい何なのか? 何がすごいのか?

  6. AI Vol.0 コンピュータは人の知能の代替となり得るのか? 〜魅惑的なAIの世界へようこそ〜

  7. 使える! 情シス三段用語辞典57「シングルサインオン」

  8. 使える! 情シス三段用語辞典56「RPA(ロボティック・プロセス・オートメーション)」

  9. 使える! 情シス三段用語辞典51「Raspberry Pi(ラズベリーパイ)」

  10. 【情シス女子】第38回 「今は何もできないけれど『いないと困る存在』に絶対なる!」 森岡友美さん

登録されているプレスリリースはございません。

新着記事

  1. IoTは、実は30年も前から考えられていたのです ボタンひとつで欲しいもの…
  2. ワタシたちは、いろいろお役に立ちはじめています すごいことはわかっていても、どこがどうすご…

おすすめ記事

  1. 2018/4/9   まさに熱狂といった言葉が相応しく、大盛況で幕を閉じた第1回目から約…
  2. 「暗号通貨の一種ですか? いいえ、テクノロジーです」 2017年12月にその価格が20…

登録されているプレスリリースはございません。

ページ上部へ戻る