Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

ログを取る必要性があるのはどんなとき?

2019年7月7日

JIS規格の「3.7 点検」には大きくふたつの要求があります。
ひとつめは「3.7.1 運用の確認」で、これは日常的な運用確認で、主に現場で行われます。
ふたつめは、「3.7.2 監査」で、これは定期的(最低年に1度)行うものであり、監査責任者が指揮します。

今日はその内の「3.7 点検」の方です。

<文書作成>
・ガイドラインには次の3点は点検の記録を残せと言っていますから、それは規定する必要があります。
a)最終退出時の社内点検(施錠確認等)の記録を残し、定期的に確認すること
b)最初に出社した人と最後に退社した人の記録を残し、定期的に確認すること
c)個人情報を格納した情報システムへのアクセスログを取得し、定期的に確認すること

・審査員によっては、これに加えて、ファイル交換ソフトウェア(Winny やShare など)をインストールしていないことも、
点検して記録を残すように指摘する方もいます。
・ついでに、ウィルス対策ソフトやスクリーンセーバの設定状況やパスワードの変更状況を確認するようにすると一層安心できます。(面倒ですが。)
・会社として何をどの頻度で点検するのかを定めておき、点検時期に点検漏れが生じないようにチェックリストのようなものを用意しておくといいでしょう。
・上記点検項目のa)とb)は、会社に最初入室者と最後退室者を記録するようなものを用意し、社員に記入させるようにし、
毎月1度、個人情報保護管理者がその用紙に確認印を押すようにすればいいでしょう。

・そして、上記点検項目のc)ですが、これはすべての個人情報について実施を求めているものではありません。
ファイルサーバなどを用いて情報を共有しているのであれば、そのファイルサーバのアクセスログを点検するといった程度でいいでしょう。
・アクセスログですが、Pマークのためだけにわざわざ高価なログ取得システムを導入する必要はありません。
もちろん、重要な情報を保有していて、何かあった場合に会社に大きなダメージがあると考えられるのであれば、Pマークの審査とは関係なく、
会社のリスク管理の一環として導入するのは有益でしょう。会社によっては例えばWindowsのイベントビューアで確認するので十分ということもあるかもしれません。
・アクセスログの点検の記録はどのように残すのか。アクセスログをすべて印刷する必要はもちろんありません。
いつ、どのサーバのアクセスログを点検したのか、その際にどのような異状があったのかなどの所見を書いてサインかハンコを押すようにしておけばいいでしょう。
・どのくらいの頻度で点検するべきか。実施可能な頻度となると思いますが、月に1度とか3ヵ月に1度とかといったかんじでしょうか。
こちらの頻度は実施可能な頻度で、あっさりしつこく行う方がいいでしょう。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。