Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.3 リスクなどの認識、分析および対策(2)3.4.3.1 安全管理措置 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.3 リスクなどの認識、分析および対策(2)3.4.3.1 安全管理措置

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column14.html

こんにちは。今回はシリーズとなっている、JISQ15001:2006の要求事項解釈の続きです。今回は前回の続きで、「3.3.3 リスクなどの認識、分析及び対策」に加え、合わせて「3.4.3.1 安全管理措置」を解説します。

前回のコラムでは、Pマークを取得するためにはリスク分析が必要で、その目的は「現状の弱点を明らかにする」ということ。リスク分析は個人情報の「ライフサイクル」からの視点で実施することが求められていることをお話しました。

さて、今回はその続きになりますが、リスク分析を行い、弱点が明らかになった後は、それらの弱点を埋める対策を取らなければなりません。そうすることで、はじめて個人情報に対する適切な安全管理対策ができたことになります。

このフェーズになると、よくお客様からこんな言葉を聞きます。

「何を実施すればよいのですか?」
「どこまでやればよいのですか?」
「サーバのパスワードは16桁以上にしないとダメですか?」
「入退室管理はICカードを使わないとダメですか?」
「バックアップは毎日取らないとダメですか?」などなど。

これらのご質問に対する回答としては、
「必須ではありません。自社で必要と思われれば実施しましょう」
ということになります。

JISQ15001では安全管理対策について具体的な管理策が明示されていないため、必須の管理策はありません。企業は監督官庁のガイドラインや、JIPDECが作成した「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」を参考に、自社で実施する管理策を決定しなければなりません。

ではここで、JIPDECのガイドラインを少し見てみましょう。明記されている安全管理措置として、以下が挙げられています。

■物理的安全管理措置

・入退室管理
⇒入退室制限の実施、記録の取得
・盗難等の防止
⇒クリアデスク、保管、鍵管理、廃棄、外部記憶媒体の利用
・機器、装置の物理的保護
⇒漏水、火災、停電、地震、破壊等からの保護

■技術的安全管理措置

・個人情報へのアクセスにおける識別と認証
⇒ID、パスワードの管理ルール
・個人情報へのアクセス制御
⇒フォルダ、アプリケーションにおける個人情報へのアクセス制御
・個人情報へのアクセス権限の管理
⇒個人情報へアクセス可能なIDの管理
・個人情報へのアクセス記録
⇒個人情報のアクセスログ取得、チェックのルール
・個人情報を取扱う情報システムに関する不正ソフトウェア対策
⇒ウイルス対策、パッチ当てのルール
・個人情報の移送、通信時の対策
⇒授受記録、メール送信時における暗号化やパスワード
・個人情報を取扱う情報システムの動作確認時の対策
⇒システムテスト時等におけるの個人データ利用のルール
・個人情報を取扱う情報システムの監視
⇒サーバ監視やシステムログチェックのルール

■正確性の確保

・誤入力チェック
・保存期間のルール
・バックアップのルール

上記内容を参考にして、自社の規模や事業内容に応じて対策を決定していくことになります。

実際の審査現場を見てみると、必須は無いとはいえ、事実上「お約束」とされている管理策があるような気がします。以下に代表的なものを示しますが、これらについてはよほどの理由がない限り、実施した方が良いと思われます。

・来訪者の入退室記録及びチェック
・従業者の入退室記録及びチェック
・個人データのバックアップ
・個人データへのアクセス制御
・ID、パスワード発行、廃棄のルール
・ウイルス対策のルール
・個人データへのアクセスログ取得及びチェックのルール

ここまでの内容で、管理策を決める考え方はお分かり頂けたかと思います。管理策さえ決まれば、それらの内容を自社の規程として落とし込めば完成となります。

最後に、1つ注意点です…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column14.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  9. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×