Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 「現地審査の傾向」vol.2 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.24(木)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 「現地審査の傾向」vol.2

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/p_column25.html

皆さんこんにちは。今回のテーマは、「現地審査の傾向 vol.2」です。実際に現地審査で指摘された項目をご紹介しますので、自社のルール作り、審査対応などに役立てて頂ければ幸いです。

■指摘事項
・監査について
監査実施にあたっては、「監査チェックリスト」を使用しているが、個人情報の流れに沿ったリスク分析と対応策の策定結果を反映していることが確認できない。リスク分析と対応策の策定結果を反映した「監査チェックリスト」を作成し、監査を実施すること。

■解説
今回ご紹介する指摘事項は、監査のやり直しを指摘されてしまった例です。“監査でチェックすべき項目に不足がある”といった主旨の指摘ですね。

そもそも、JISQ15001の要求事項では、内部監査の目的として
(1)JISQ15001への適合性
(2)自社PMSの運用状況
の二つを監査することが明記されています。したがって(1)と(2)がチェックできていれば、原則指摘事項は出ないことになります。

この会社は上記要求事項を理解し、(1)と(2)両方を満たせるようなチェックリストを作り監査を実施しました。特に(2)については自社規程から満遍なくチェック項目を抽出し、他社のチェックリストと比較しても、遜色ない内容のチェックリストを使っていました。にも関わらず、(2)の監査でチェック項目が足りないとの指摘事項をもらったのです。

この指摘事項でポイントとなるのは、“リスク分析と対応策の策定結果を反映していることが確認できない”の一言だと思います。

つまり、リスク分析を実施したことにより立案した「リスク対策」、また、対策を実施してもなおリスクが残る場合の「残存リスク」、これら2つについて、
(a)立案したリスク対策が実施されているか、対策は有効に機能しているか
(b)残存リスクが顕在化していないか
といった観点でチェックリストにチェック項目として盛り込み、監査することを審査員は要求したということです。

リスク分析で立案した「リスク対策」は、安全管理の規程に盛り込まれるはずです。したがって安全管理の規程からチェック項目を抽出すれば、結果的に立案した対策が実施されているかどうかはチェックできることになります。上記で書いた通り、この会社は自社規程から満遍なくチェック項目を抽出していたため、当然安全管理の規程についてもチェックしていました。

ただし、彼らは(a)、(b)…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column25.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  6. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×