ある日Pマーク担当になった人のために　第3回「プライバシーマーク審査の実態その2」

現場審査～個人情報の取り扱い状況の実態調査

実態調査とは言っても、実際にヒアリングの対象になるのは個人情報保護管理者です。
ただし、個人情報保護管理者が業務実態を把握できていない場合は、業務がわかる担当者をアサインすることを依頼されます。
実際の審査は次のような方式で進んでいきます。

業務の流れ確認

個人情報取扱業務について、内容の確認を行います。
その際にポイントとなるのは、第1回のコラムで寄稿した、個人情報の取得から廃棄までの流れに関するところです。
その際に確認されるのは、明示的な同意がなされているか、また、明示的な同意が記録の残るものである場合、記録があるか。
というところです。

さらに、そこで想定されるリスクが対応できているかも確認のポイントとなります。
特にセキュリティリスクは審査員により大幅に評価が異なります。
しかし、重要なことは合理的な対策がとられているか、というところであるため、実際に審査で指摘になりそうなときには、なぜその対策が必要であるか、また、その対策を実施することが本当に可能なのか、といった観点から折衝することをお勧めいたします。
必ずしも、審査員の評価は正しいとは限らないため、審査員の指摘をうのみにすると、過度な対応やコストをかけることになりかねません。

情報システムのセキュリティ確認

情報システムのセキュリティについては、主に次の点を確認します。

• アカウント管理
  
• アクセス制限
  
• ログ
  
• ウィルス対策

アカウント管理の際に重視されるのは、共有アカウントの有無についてです。
共有アカウントが存在する場合、後述のアクセス制限も、ログの取得も全く役に立たなくなってしまいます。
少なくとも、ユーザには固有のIDを割り振るようにしましょう。

また、パスワードの共有は絶対許可しないようにご注意ください。
アクセス制限のポイントは、実際にファイルを開くことや、閲覧することが可能かどうかというところです。
例えば、ファイルそのものの存在を見ることはできたとしても、パスワード等の制限がかけられていることで、開くことはできないようになっている、などの対策も有効です。

ログについては、取得していることはもちろんですが、分析しているかが確認のポイントとなります。
プライバシーマークの基準上はログについて何のログであるかは特定されていませんが、確実に確認されるのはアクセスのログになります。
不正アクセスがないかが確認のポイントとなるため、例えば、ログイン失敗のログや、アクセス障害のログなどをチェックポイントの対象としておく必要があります。また、チェックの記録は確実に要求されるので、チェック記録は日誌や管理簿などでつけておくようにしましょう。

ウィルス対策は必須です。
もちろん、ウィルス対策ソフトをインストールすることは当然ですが、きちんとアップデートされているかも確認のポイントとなります。
その際に、ウィルス対策ソフト以外にも、OSや、Flashなど、不正攻撃のターゲットにされやすいものも確認されることがあります。

施設の安全対策

施設に関する安全対策は、施設によって異なるのですが、確実にチェックされるのは、入退室の記録についてです。
最終退室者の記録は必ずチェックされるポイントです。
また、第三者の入室についても、記録されているかが確認されます。
どちらも、明確な記録が求められるため、入退室の管理簿などつけておく必要があります。

これらの対策が求められるのですが、前述のとおりセキュリティ対策は企業によってレベルの差もありますし、環境によってもできることが異なってくるため、自社で取られている対策が合理的であると説明できる状態を保っておくようにしましょう。

次回は個人情報保護法についてです。