最近の指摘事項の傾向と対策(36)「3.7 点検」の「3.7.1 運用の確認」
本日は「3.7 点検」の「3.7.1 運用の確認」に関する指摘事項の傾向と対策です。
(ガイドラインP. 63)
JISの「3.7 点検」には大きくふたつの要求があります。
ひとつは、「3.7.1 運用の確認」で、これは日常的な運用確認で、主に現場で行われるでしょう。
もうひとつは、「3.7.2 監査」で、これは定期的(最低年に1度)行うものであり、監査責任者が指揮します。
今日はその内の「3.7 点検」の方です。
<文書作成>
・ガイドラインには次の3点は点検の記録を残せと言っていますから、それは規定する必要があるでしょう。
a)最終退出時の社内点検(施錠確認等)の記録を残し、定期的に確認すること
b)最初に出社した人と最後に退社した人の記録を残し、定期的に確認すること
c)個人情報を格納した情報システムへのアクセスログを取得し、定期的に確認すること
・審査員によっては、これに加えて、ファイル交換ソフトウェア(Winny やShare など)をインストールしていないことも、点検して記録を残すように指摘する方もいます。
・ついでに、ウィルス対策ソフトやスクリーンセーバの設定状況やパスワードの変更状況を確認するようにすると一層安心できますね。(面倒ですが。)
・会社として何をどの頻度で点検するのかを定めておき、点検時期に点検漏れが生じないようにチェックリストのようなものを用意しておくといいでしょう。
・上記点検項目のa)とb)は、会社に最初入室者と最後退室者を記録するようなものを用意し、社員に記入させるようにし、毎月1度、個人情報保護管理者がその用紙に確認印を押すようにすればいいでしょう。
・上記点検項目のc)ですが、これはすべての個人情報について実施を求めているものではありません。ファイルサーバなどを用いて情報を共有しているのであれば、そのファイルサーバのアクセスログを点検するといった程度でいいでしょう。
・アクセスログですが、Pマークのためだけにわざわざ高価なログ取得システムを導入する必要はありません。もちろん、重要な情報を保有していて、何かあった場合に会社に大きなダメージがあると考えられるのであれば、Pマークの審査とは関係なく、会社のリスク管理の一環として導入するのは有益でしょう。会社によっては例えばWindowsのイベントビューアで確認するので十分ということもあるかもしれません。
・最近のLANディスクにはアクセスログをとる機能のあるものもあるので、それを利用する手もあります。ただ、どのくらいの期間のログが残るのかという点は考慮するべきでしょう。
・アクセスログの点検の記録はどのように残すのか。アクセスログをすべて印刷する必要はもちろんありません。いつ、どのサーバのアクセスログを点検したのか、その際にどのような異状があったのかなどの所見を書いてサインかハンコを押すようにしておけばいいでしょう。
・どのくらいの頻度で点検するべきか。実施可能な頻度となると思いますが、月に1度とか3ヵ月に1度とかといったかんじでしょうか。毎月できるのであれば、毎月する方がいいでしょう。なぜなら、3ヵ月に1度というのは、どうしても作業として忘れがちだからです。
<運用>
・上記の通り定めた様式に、サインやハンコなどで点検したことが分かる記録が必要です。
・特に、アクセスログは「点検は毎月してますが、点検した旨の記録は取っていません」ということがありがちです。上述の通り、「点検しました。異常なし。(ハンコ)」などの記録を残すことをお勧めします。
※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf