Pマーク(プライバシーマーク)で日常点検しないとどうなるか


いつもご愛読いただきましてありがとうございます。
ISO総合研究所の江村です。

今回のブログのテーマは、「Pマーク(プライバシーマーク)で日常点検しないとどうなるか」についてです。

はじめに御社では、Pマークの運営において、日常点検されてますでしょうか?
実施できている企業様と実施できていない企業様とがいらっしゃるかもしれません。

そもそも日常点検には、来訪者記録や従業者入退室記録や鍵管理記録などいろいろな記録表などがあります。

なぜ日常点検をしないといけないの?

では、なぜ日常点検をしないといけないのでしょうか?

日常点検をする理由は、「Pマークにおいて個人情報漏えいする可能性がある項目に対し、定期的にチェックすることで個人情報漏えいに対するリスクを減らす」ためです。

ではどんなところに情報漏えいするリスクがあるのでしょうか?

業務上で個人情報の漏えいのリスクが1番高いのは、「外部との接触」です。

例えば、PCをネットワークにつないでいなければ、個人情報を漏えいするリスクはありません。しかし、今やほとんどのPCがネットワークを通じて「外部との接触」しているはずです。つまり、そこには漏えいのリスクがあり、無視できないポイントだということになります。

つまり、このような「外部との接触」を監視していれば、漏えいのリスクを低減させることができます。

点検で必要なこと

点検ですることが必要なのは、以下の3点です。

1)最終退出日時の社内点検(施錠確認等)
2)入退館(室)の記録の定期的な確認
3)アクセスログの定期的な確認

では、1つずつ説明させていただきます。

1)最終退出日時の社内点検(施錠確認等)

夜最後に事務所を出られる時に鍵の施錠がされているか、個人情報が保管されている保管庫が施錠されているか、エアコンやパソコンの電源が切られているかなどチェックされたことがあると思われます。このチェックが『最終退出日時の社内点検』にあたります。

このチェックを行うのは、個人情報の漏えい・紛失する可能性があるためを防火防犯対策が出来ているか再度確認する為、チェックを行います。

2)入退館(室)の記録の定期的な確認

朝一番早く事務所に来られた方、もしくは、夜最後に事務所を出られる方が出社時間や退社時間を記入したり、取引先や業務委託業者が来られた場合、来訪した入室時間・氏名・時間・用件・退室時間を記入して頂くことがあると思います。

なぜ記録する必要性があるかというと、仮に問題が起きた際、誰が開錠と施錠を実施しているか、どの会社の人が事務所内に来たか記録を基に過去に遡って確認する為です。
そこから原因を追究していく流れになります。

来訪者が来訪された場合、個人情報の取扱い区域に入る場合は来訪した方の記録を取る必要がありますが、個人情報の取扱い区域に入らない場合は取る必要はありません。

3)アクセスログの定期的な確認

アクセスログの定期的な確認は、個人情報を格納した情報システムへ不正なアクセスや時間外でログインがあった場合アクセスした記録を取り誰がいつアクセスしたかを特定するために定期的に確認を行います。

また、個人情報が入っておりネットワークにつないでいないPCであっても個人情報が紛失した場合、いつそのPCを使用したか確認する為にイベントログで確認を行う必要があります。

点検を行う頻度

また、点検は定期的に行うことが大切で、Pマーク(プライバシーマーク)の規格上1か月に1回しなさいなどの縛りが無く、頻度は会社ごとに決めることができます。

それから、日常の中でもポイントを押さえてチェックすることは、いろんなことにつながっております。

私は、筋トレが好きで週に5回ジムに行くほど筋トレが大好きです。筋トレを行っている中で体重を毎回図っており、週に1回前の週と体重・体脂肪率を調べうまくいっていない場合、何がいけなかったのかを原因を追究し改善をしております。

ちなみに、うまくいっていない場合の多くは食事制限をせずにおいしいものをたくさん食べている所にあります。から揚げ、ハンバーガー、ケーキ、ビール……(笑)

このように、定期的にチェックすることで原因を追究することができ、個人情報の漏えいのリスクを低減させることができます。しかし、定期的にチェックしないと原因を追究することが出来ません。そのままだと個人情報の漏えいのリスクを低減することができませんので、やっているとやっていないとでは大きく違ってきます。

運用がうまくいっていなくても、日常点検はちゃんとしていきましょうね。


簡単・即時発行!見積書ダウンロード

メールアドレス