ある日Pマーク担当になった人のために 第3回「プライバシーマーク審査の実態その2」

2016/05/12
プライバシーマーク審査のイメージ画像

読者の皆様こんにちは。前回に引き続き、今回は審査を受ける際のポイントについて解説しようと思います。

 

現場審査~個人情報の取り扱い状況の実態調査

実態調査とは言っても、実際にヒアリングの対象になるのは個人情報保護管理者です。

ただし、個人情報保護管理者が業務実態を把握できていない場合は、業務がわかる担当者をアサインすることを依頼されます。

実際の審査は次のような方式で進んでいきます。

 

業務の流れ確認

個人情報取扱業務について、内容の確認を行います。

その際にポイントとなるのは、第1回のコラムで寄稿した、個人情報の取得から廃棄までの流れに関するところです。

その際に確認されるのは、明示的な同意がなされているか、また、明示的な同意が記録の残るものである場合、記録があるか。

というところです。

さらに、そこで想定されるリスクが対応できているかも確認のポイントとなります。

特にセキュリティリスクは審査員により大幅に評価が異なります。

しかし、重要なことは合理的な対策がとられているか、というところであるため、実際に審査で指摘になりそうなときには、なぜその対策が必要であるか、また、その対策を実施することが本当に可能なのか、といった観点から折衝することをお勧めいたします。

必ずしも、審査員の評価は正しいとは限らないため、審査員の指摘をうのみにすると、過度な対応やコストをかけることになりかねません。

 

情報システムのセキュリティ確認

情報システムのセキュリティについては、主に次の点を確認します。

  • アカウント管理
  • アクセス制限
  • ログ
  • ウィルス対策

アカウント管理の際に重視されるのは、共有アカウントの有無についてです。

共有アカウントが存在する場合、後述のアクセス制限も、ログの取得も全く役に立たなくなってしまいます。

少なくとも、ユーザには固有のIDを割り振るようにしましょう。

また、パスワードの共有は絶対許可しないようにご注意ください。

アクセス制限のポイントは、実際にファイルを開くことや、閲覧することが可能かどうかというところです。

例えば、ファイルそのものの存在を見ることはできたとしても、パスワード等の制限がかけられていることで、開くことはできないようになっている、などの対策も有効です。

ログについては、取得していることはもちろんですが、分析しているかが確認のポイントとなります。

プライバシーマークの基準上はログについて何のログであるかは特定されていませんが、確実に確認されるのはアクセスのログになります。

不正アクセスがないかが確認のポイントとなるため、例えば、ログイン失敗のログや、アクセス障害のログなどをチェックポイントの対象としておく必要があります。

また、チェックの記録は確実に要求されるので、チェック記録は日誌や管理簿などでつけておくようにしましょう。

ウィルス対策は必須です。

もちろん、ウィルス対策ソフトをインストールすることは当然ですが、きちんとアップデートされているかも確認のポイントとなります。

 

その際に、ウィルス対策ソフト以外にも、OSや、Flashなど、不正攻撃のターゲットにされやすいものも確認されることがあります。

 

施設の安全対策

施設に関する安全対策は、施設によって異なるのですが、確実にチェックされるのは、入退室の記録についてです。

最終退室者の記録は必ずチェックされるポイントです。

また、第三者の入室についても、記録されているかが確認されます。

どちらも、明確な記録が求められるため、入退室の管理簿などつけておく必要があります。

これらの対策が求められるのですが、前述のとおりセキュリティ対策は企業によってレベルの差もありますし、環境によってもできることが異なってくるため、自社で取られている対策が合理的であると説明できる状態を保っておくようにしましょう。

次回は個人情報保護法についてです。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  3. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  4. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  5. 政府は11月をテレワーク月間と定め、時間と場所を選ばない働き方を推進しています。中には完全リモートワ…
  1. 使える! 情シス三段用語辞典78「reCAPTCHA」

  2. 【情シス基礎知識】最近よく聞く、CSIRTってなに?

  3. PCNW「社内コミュニケーションの変遷と実情」第二回ITトレンド勉強会@東京(2/21)

  4. 会議の効率化から働き方改革をサポートする「ThinkSmart Hub 700」-レノボ

  5. 【日本ものづくりワールド2019レポート】ものづくりAI/IoT展

  6. 使える! 情シス三段用語辞典77「SoR(モード1)/SoE(モード2)」

  7. 2018年度セキュリティ意識調査-カスペルスキーレポート

  8. 【情シス基礎知識】CISOって何する人?

  9. ERP及びCRM・SFAのクラウド利用率調査-矢野経済研究所

  10. 【Backlog World 2019レポート①】Backlogと「プロマネ×働き方改革」

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  2. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  3. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  4. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  5. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  6. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
ページ上部へ戻る