Pマーク、ISOコンサル現場の声〜誰も教えない個人情報保護　JISQ15001要求事項を読み解こう 3.3.3　リスクなどの認識、分析および対策(2)3.4.3.1 安全管理措置

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名祐輔
http://rm.jmc.ne.jp/service/pm/column14.html

こんにちは。今回はシリーズとなっている、JISQ15001:2006の要求事項解釈の続きです。今回は前回の続きで、「3.3.3　リスクなどの認識、分析及び対策」に加え、合わせて「3.4.3.1 安全管理措置」を解説します。

前回のコラムでは、Pマークを取得するためにはリスク分析が必要で、その目的は「現状の弱点を明らかにする」ということ。リスク分析は個人情報の「ライフサイクル」からの視点で実施することが求められていることをお話しました。

さて、今回はその続きになりますが、リスク分析を行い、弱点が明らかになった後は、それらの弱点を埋める対策を取らなければなりません。そうすることで、はじめて個人情報に対する適切な安全管理対策ができたことになります。

このフェーズになると、よくお客様からこんな言葉を聞きます。

「何を実施すればよいのですか？」
「どこまでやればよいのですか？」
「サーバのパスワードは16桁以上にしないとダメですか？」
「入退室管理はICカードを使わないとダメですか？」
「バックアップは毎日取らないとダメですか？」などなど。

これらのご質問に対する回答としては、
「必須ではありません。自社で必要と思われれば実施しましょう」
ということになります。

JISQ15001では安全管理対策について具体的な管理策が明示されていないため、必須の管理策はありません。企業は監督官庁のガイドラインや、JIPDECが作成した「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」を参考に、自社で実施する管理策を決定しなければなりません。

ではここで、JIPDECのガイドラインを少し見てみましょう。明記されている安全管理措置として、以下が挙げられています。

■物理的安全管理措置

・入退室管理
⇒入退室制限の実施、記録の取得
・盗難等の防止
⇒クリアデスク、保管、鍵管理、廃棄、外部記憶媒体の利用
・機器、装置の物理的保護
⇒漏水、火災、停電、地震、破壊等からの保護

■技術的安全管理措置

・個人情報へのアクセスにおける識別と認証
⇒ID、パスワードの管理ルール
・個人情報へのアクセス制御
⇒フォルダ、アプリケーションにおける個人情報へのアクセス制御
・個人情報へのアクセス権限の管理
⇒個人情報へアクセス可能なIDの管理
・個人情報へのアクセス記録
⇒個人情報のアクセスログ取得、チェックのルール
・個人情報を取扱う情報システムに関する不正ソフトウェア対策
⇒ウイルス対策、パッチ当てのルール
・個人情報の移送、通信時の対策
⇒授受記録、メール送信時における暗号化やパスワード
・個人情報を取扱う情報システムの動作確認時の対策
⇒システムテスト時等におけるの個人データ利用のルール
・個人情報を取扱う情報システムの監視
⇒サーバ監視やシステムログチェックのルール

■正確性の確保

・誤入力チェック
・保存期間のルール
・バックアップのルール

上記内容を参考にして、自社の規模や事業内容に応じて対策を決定していくことになります。

実際の審査現場を見てみると、必須は無いとはいえ、事実上「お約束」とされている管理策があるような気がします。以下に代表的なものを示しますが、これらについてはよほどの理由がない限り、実施した方が良いと思われます。

・来訪者の入退室記録及びチェック
・従業者の入退室記録及びチェック
・個人データのバックアップ
・個人データへのアクセス制御
・ID、パスワード発行、廃棄のルール
・ウイルス対策のルール
・個人データへのアクセスログ取得及びチェックのルール

ここまでの内容で、管理策を決める考え方はお分かり頂けたかと思います。管理策さえ決まれば、それらの内容を自社の規程として落とし込めば完成となります。

最後に、1つ注意点です…

【執筆：浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column14.html