ある日Pマーク担当になった人のために 第3回「プライバシーマーク審査の実態その2」

2016/05/12
プライバシーマーク審査のイメージ画像

読者の皆様こんにちは。前回に引き続き、今回は審査を受ける際のポイントについて解説しようと思います。

 

現場審査~個人情報の取り扱い状況の実態調査

実態調査とは言っても、実際にヒアリングの対象になるのは個人情報保護管理者です。
ただし、個人情報保護管理者が業務実態を把握できていない場合は、業務がわかる担当者をアサインすることを依頼されます。
実際の審査は次のような方式で進んでいきます。

 

業務の流れ確認

個人情報取扱業務について、内容の確認を行います。
その際にポイントとなるのは、第1回のコラムで寄稿した、個人情報の取得から廃棄までの流れに関するところです。
その際に確認されるのは、明示的な同意がなされているか、また、明示的な同意が記録の残るものである場合、記録があるか。
というところです。

さらに、そこで想定されるリスクが対応できているかも確認のポイントとなります。
特にセキュリティリスクは審査員により大幅に評価が異なります。
しかし、重要なことは合理的な対策がとられているか、というところであるため、実際に審査で指摘になりそうなときには、なぜその対策が必要であるか、また、その対策を実施することが本当に可能なのか、といった観点から折衝することをお勧めいたします。
必ずしも、審査員の評価は正しいとは限らないため、審査員の指摘をうのみにすると、過度な対応やコストをかけることになりかねません。

 

情報システムのセキュリティ確認

情報システムのセキュリティについては、主に次の点を確認します。

  • アカウント管理
  • アクセス制限
  • ログ
  • ウィルス対策

アカウント管理の際に重視されるのは、共有アカウントの有無についてです。
共有アカウントが存在する場合、後述のアクセス制限も、ログの取得も全く役に立たなくなってしまいます。
少なくとも、ユーザには固有のIDを割り振るようにしましょう。

また、パスワードの共有は絶対許可しないようにご注意ください。
アクセス制限のポイントは、実際にファイルを開くことや、閲覧することが可能かどうかというところです。
例えば、ファイルそのものの存在を見ることはできたとしても、パスワード等の制限がかけられていることで、開くことはできないようになっている、などの対策も有効です。

ログについては、取得していることはもちろんですが、分析しているかが確認のポイントとなります。
プライバシーマークの基準上はログについて何のログであるかは特定されていませんが、確実に確認されるのはアクセスのログになります。
不正アクセスがないかが確認のポイントとなるため、例えば、ログイン失敗のログや、アクセス障害のログなどをチェックポイントの対象としておく必要があります。また、チェックの記録は確実に要求されるので、チェック記録は日誌や管理簿などでつけておくようにしましょう。

ウィルス対策は必須です。
もちろん、ウィルス対策ソフトをインストールすることは当然ですが、きちんとアップデートされているかも確認のポイントとなります。
その際に、ウィルス対策ソフト以外にも、OSや、Flashなど、不正攻撃のターゲットにされやすいものも確認されることがあります。

 

施設の安全対策

施設に関する安全対策は、施設によって異なるのですが、確実にチェックされるのは、入退室の記録についてです。
最終退室者の記録は必ずチェックされるポイントです。
また、第三者の入室についても、記録されているかが確認されます。
どちらも、明確な記録が求められるため、入退室の管理簿などつけておく必要があります。

 

これらの対策が求められるのですが、前述のとおりセキュリティ対策は企業によってレベルの差もありますし、環境によってもできることが異なってくるため、自社で取られている対策が合理的であると説明できる状態を保っておくようにしましょう。

次回は個人情報保護法についてです。


佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ

関連記事

ピックアップ記事

  1. 前回、前々回とご案内の「デジタル化・DX推進展」、皆さんはもう参加されましたか? 東京・大阪での展…
  2. テレワークやDX(デジタルトランスフォーメーション)、コロナ禍も後押しし、企業の働き方は大きく変わり…
  1. まだまだ開催中! デジタル化・DX推進展2022 ~イベントレポート編~ [PR]

  2. 松田軽太の「ボッチ情シスノススメ」#23:業務改善の実施は計画的に!

  3. 業務サービス辞典:クラウド型B2B請求代行サービス「SEIKYU+」

  4. 情シスアカデミア#01:ASP/SaaS/クラウド事始め「コンピュータの基礎」

  5. DXを実現するためのあるべきITシステム「スサノオ・フレームワーク」とは-IPA

  6. 使える! 情シス三段用語辞典126「HTTP/3」

  7. 【DX白書2021】日米企業におけるDX動向を解説-IPA

  8. いまさら聞けない【情シス知識】Windowsサンドボックス:君子危うきに近寄らず!?

  9. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

  10. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
ページ上部へ戻る