2019年7月6日
今回のテーマはPマーク(プライバシーマーク)の内部監査での見るべきポイント、つまりチェックポイントです。
そもそも内部監査って?
そもそも内部監査って何というところです。
Pマーク(プライバシーマーク)の規格ではPDCAを回すことになっています。
内部監査はPDCAのCつまりチェックに当たります。
このチェックを内部の者(社内の人)から指名して監査をしましょうということです。
監査人に選ばれた人はしっかりと監査してください。イメージは半沢直樹で片岡愛之助さん演じる金融庁の黒崎検査官のように「あなた○○はどうなっている?」って感じで社内をチェックしてください。
内部監査について何であるかはここまでにしていよいよ本題に入ります。
内部監査のチェックリスト
まずは内部監査のチェックリストを作ります。
チェックリストは2種類あります。
1つは自社のルール(規程やマニュアルなどと呼ばれるもの)とPマーク(プライバシーマーク)の要求するルールを見比べるチェックリストです。
これを俗にJISへの適合状況の監査と言っていたりもします。
2つ目は運用監査のチェックリストです。
運用監査とは自社のルール(規程やマニュアルなどと呼ばれるもの)と実際に行われていることが合っているかということです。
新規認証で取得される以外つまり更新時は基本的に1つ目のJISへの適合状況の監査で問題が見つかることは少ないと思います。
毎回の監査で気をつけたいのは運用監査です。
リスク分析での対策が運用監査でチェックをしたらいいのです。
見るべきポイント
さぁここからは見逃しがちで、よく不適合になっている箇所である見るべきポイントを書いていきます。
①PCの設定の全般
PCのPマークで見ておくべきは順に説明していきます。
windowsをご使用されている方でwindows updateは自動更新の設定になっていますか。設定を確認して見て下さい。
特に設定を今まで変更されたことがなければ標準では自動更新になっていますが、ごくたまに手動になっていたりするので、監査でのタイミングで確認することが大事です。
②ウィルス対策ソフト
これはご使用されているものが常に最新のバーションになっているか、また最新のものが手に入るようなに自動更新になっているかを見ます。
ウィルス対策ソフトに関しては、別の視点があります。これはよく見ないとわからないのですが、
社内で指定されたウィルス対策ソフト(有料・無料問わず)を使用しているお客様に見られるのですが、知らないうちに2つ目のウィルス対策ソフトをインストールしているということです。
これは一見セキュリティを高めてそうですが全く違います。
むしろウィルス対策ソフト同士お互いがウィルスと感知しPCのパフォーマンスを低下させ、正常にウィルス対策ソフトが動かなくなることがあります。
そのためメインとなるウィルス対策ソフトを除いてアンインストール(プログラムからの根本的な削除)をおススメします。
③スクリーンセーバーの設定
これはお客様先での事例ですがスクリーンセーバーの設定は終わっていますよと自信満々で言われていて確認しました。
すると確かにきちんとスクリーンセーバーが規程の時間に従って起動することが確認できました。
もちろん設定時間になると、その方のPCの画面は楽しげな画像がコロコロと変化していきました。
残念なのはただただ画面が楽しげになっただけだったからです。マウスを動かしたり、キーボードに触れたりするとなぜかログイン状態です。
でもスクリーンセーバーを設定していると思うかもしれませんが、スクリーンセーバーを設定することの意味は離席時等に一定時間PCから離れる時は自動的にログオフなるといいねということでした。
そのため必ずスクリーンセーバーはパスワード付であることを確認したうえで設定しておく必要があります。
④無線LANに関して
審査でもよく指摘をされる傾向にありますが社内でのインターネットへの接続際に無線LANを使用する場合は無線LANの暗号化に関して気にしておくべきです。
実際に使用されている会社ではどのような種類の暗号化をしているかを知り、必要であれば強化していくことも考えることができる。
⑤アクセスログに関して
実際にアクセスログを定期的に取得することはPマーク(プライバシーマーク)規格の要求であります。
実際問題はちゃんと取れているかどうかは専門的な知識がないと、わからなかったり自分で見ようと思っても設備投資が必要などで見れないお客様も多いです。
もし見れても委託先が見れるということになるかもしれないです。そのため本当に見れるのかを確認が必要となります。
まとめ
総じてPCに関してよく見られるのをおススメします。
中でも特に注意して見てもらいたいのは新しく入ったPCや機器やシステムなどです。
こういったものは設定漏れがありがちなので注意するだけ簡単にどれかは見つかります。
以上が内部監査の見るべきポイントでした。参考にして金融庁の黒崎検査官のようなカッコイイ監査員としてご活躍ください。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ