Pマーク(プライバシーマーク)での監査のポイント


-shared-img-thumb-N811_notepcwosawarubiz_TP_V

ISO総合研究所のPマーク(プライバシーマーク)のコンサルタントの大山です。

寒い時期が続いておりますが、皆様におかれましては、いかがお過ごしでしょうか?
マイナンバーが施行されて、会社として「どうしたらいいの?」いう声が聞こえてきそうな時期でもありますね。

こんな前振りですが、今回のブログのテーマはPマーク(プライバシーマーク)の内部監査での見るべきポイント、つまりチェックポイントです。

そもそも内部監査って?

そもそも内部監査って何というところです。

Pマーク(プライバシーマーク)の規格ではPDCAを回すことになっています。
内部監査はPDCAのCつまりチェックに当たります。

このチェックを内部の者(社内の人)から指名して監査をしましょうということです。
監査人に選ばれた人はしっかりと監査してください。イメージは半沢直樹で片岡愛之助さん演じる金融庁の黒崎検査官のように「あなた○○はどうなっている?」って感じで社内をチェックしてください。

内部監査について何であるかはここまでにしていよいよ本題に入ります。

内部監査のチェックリスト

まずは内部監査のチェックリストを作ります。
チェックリストは2種類あります。

1つは自社のルール(規程やマニュアルなどと呼ばれるもの)とPマーク(プライバシーマーク)の要求するルールを見比べるチェックリストです。
これを俗にJISへの適合状況の監査と言っていたりもします。

2つ目は運用監査のチェックリストです。
運用監査とは自社のルール(規程やマニュアルなどと呼ばれるもの)と実際に行われていることが合っているかということです。
新規認証で取得される以外つまり更新時は基本的に1つ目のJISへの適合状況の監査で問題が見つかることは少ないと思います。

毎回の監査で気をつけたいのは運用監査です。
リスク分析での対策が運用監査でチェックをしたらいいのです。

見るべきポイント

さぁここからは見逃しがちで、よく不適合になっている箇所である見るべきポイントを書いていきます。

①PCの設定の全般
PCのPマークで見ておくべきは順に説明していきます。
windowsをご使用されている方でwindows updateは自動更新の設定になっていますか。設定を確認して見て下さい。
特に設定を今まで変更されたことがなければ標準では自動更新になっていますが、ごくたまに手動になっていたりするので、監査でのタイミングで確認することが大事です。

②ウィルス対策ソフト
これはご使用されているものが常に最新のバーションになっているか、また最新のものが手に入るようなに自動更新になっているかを見ます。
ウィルス対策ソフトに関しては、別の視点があります。これはよく見ないとわからないのですが、
社内で指定されたウィルス対策ソフト(有料・無料問わず)を使用しているお客様に見られるのですが、知らないうちに2つ目のウィルス対策ソフトをインストールしているということです。
これは一見セキュリティを高めてそうですが全く違います。
むしろウィルス対策ソフト同士お互いがウィルスと感知しPCのパフォーマンスを低下させ、正常にウィルス対策ソフトが動かなくなることがあります。
そのためメインとなるウィルス対策ソフトを除いてアンインストール(プログラムからの根本的な削除)をおススメします。

③スクリーンセーバーの設定
これはお客様先での事例ですがスクリーンセーバーの設定は終わっていますよと自信満々で言われていて確認しました。
すると確かにきちんとスクリーンセーバーが規程の時間に従って起動することが確認できました。
もちろん設定時間になると、その方のPCの画面は楽しげな画像がコロコロと変化していきました。
残念なのはただただ画面が楽しげになっただけだったからです。マウスを動かしたり、キーボードに触れたりするとなぜかログイン状態です。
でもスクリーンセーバーを設定していると思うかもしれませんが、スクリーンセーバーを設定することの意味は離席時等に一定時間PCから離れる時は自動的にログオフなるといいねということでした。
そのため必ずスクリーンセーバーはパスワード付であることを確認したうえで設定しておく必要があります。

④無線LANに関して
審査でもよく指摘をされる傾向にありますが社内でのインターネットへの接続際に無線LANを使用する場合は無線LANの暗号化に関して気にしておくべきです。
実際に使用されている会社ではどのような種類の暗号化をしているかを知り、必要であれば強化していくことも考えることができる。

⑤アクセスログに関して
実際にアクセスログを定期的に取得することはPマーク(プライバシーマーク)規格の要求であります。
実際問題はちゃんと取れているかどうかは専門的な知識がないと、わからなかったり自分で見ようと思っても設備投資が必要などで見れないお客様も多いです。
もし見れても委託先が見れるということになるかもしれないです。そのため本当に見れるのかを確認が必要となります。

まとめ

総じてPCに関してよく見られるのをおススメします。

中でも特に注意して見てもらいたいのは新しく入ったPCや機器やシステムなどです。
こういったものは設定漏れがありがちなので注意するだけ簡単にどれかは見つかります。

以上が内部監査の見るべきポイントでした。参考にして金融庁の黒崎検査官のようなカッコイイ監査員としてご活躍ください。

\ お問い合わせフォームはこちら /

WEBお問い合わせ


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス