Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.7緊急事態への準備(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう 3.3.7緊急事態への準備(1)

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column16.html

皆さんこんにちは。今回も新JISの要求事項解説を行いたいと思います。今回のテーマは3.3.7緊急事態への準備の第1回目です。この要求事項は新JISになって新たに出てきたものですので、旧JISでPマークを取っている会社も新たに手順を策定する必要がありますね。

さて、早速内容に移りたいと思います。この要求事項、言っている内容は大きく3つ挙げられます。

(1) 緊急事態を特定する手順の策定
(2) 被害を最低限に抑える手順の策定
(3) 事実関係、是正措置等の公表・通知手順

(1) の緊急事態を特定する手順ですが、これは言い方を変えると、「何をもって緊急事態とするか、その定義をはっきりさせること」と言うことができると思われます。

例えば、Eメールの誤送信という事象が起こったとして、たまたま添付ファイルにお客様1名分の氏名が入っていた場合、これは皆様の会社にとって緊急事態に該当するでしょうか?該当すると答える人、該当しないと答える人、両方いると思います。

では他に、1名分ではなくて、100名分ではどうでしょうか?その内容が氏名だけではなくて、その人のクレジットカード番号が含まれていた場合はどうでしょうか?これらも、両方の答えが出てくると思います。 要は、「緊急事態」と一言で言っても、その人の役職や責務、知識や経験などによってその定義は変わるということです。

そのような状態で個人情報保護マネジメントシステムを運用してしまうと、個人情報保護管理者の視点で緊急事態に該当する事象が発生しても、現場が緊急事態と判断せずに報告を怠り、結果的に対応を放置し、被害が拡大して気づいた時には対応が後手に回ってしまう恐れがあると思われます。

それを避けるためにも、会社として何をもって緊急事態とするかという定義を明確にし、それを規程などに明記したうえで教育を通じて従業者に周知徹底することが必要になってきます。この要求事項で緊急事態を特定する手順は、このような理由で必要なんだと思われます。

では、規程類においてどのように緊急事態を特定するかというと、規格の解説を読むと「自社で最も緊急事態が起こりやすい場面」や、「その被害の規模」といったことを目安に特定するようにと言われています。

従って、例えば、DM発送を主にしている事業者であれば、ラベルの貼り間違いによる誤送信が考えられるでしょうし、派遣業を主にしている事業者であれば、派遣された方が派遣先で個人情報を盗難、紛失するという事象が考えられるでしょう。

また、金融機関であれば信用情報の不適切な取り扱いが挙げられるでしょう。他にも、過去に個人情報関連の事件事故が発生していれば、「起こりやすい場面」ということでその事象を緊急事態とするのもよいかと思われます。

それ以外に…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column16.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×