JIS規格の「3.7 点検」には大きくふたつの要求があります。
ひとつめは「3.7.1 運用の確認」で、これは日常的な運用確認で、主に現場で行われます。
ふたつめは、「3.7.2 監査」で、これは定期的（最低年に1度）行うものであり、監査責任者が指揮します。

今日はその内の「3.7 点検」の方です。

＜文書作成＞
・ガイドラインには次の3点は点検の記録を残せと言っていますから、それは規定する必要があります。
a)最終退出時の社内点検（施錠確認等）の記録を残し、定期的に確認すること
b)最初に出社した人と最後に退社した人の記録を残し、定期的に確認すること
c)個人情報を格納した情報システムへのアクセスログを取得し、定期的に確認すること

・審査員によっては、これに加えて、ファイル交換ソフトウェア（Winny やShare など）をインストールしていないことも、
点検して記録を残すように指摘する方もいます。
・ついでに、ウィルス対策ソフトやスクリーンセーバの設定状況やパスワードの変更状況を確認するようにすると一層安心できます。（面倒ですが。）
・会社として何をどの頻度で点検するのかを定めておき、点検時期に点検漏れが生じないようにチェックリストのようなものを用意しておくといいでしょう。
・上記点検項目のa)とb)は、会社に最初入室者と最後退室者を記録するようなものを用意し、社員に記入させるようにし、
毎月1度、個人情報保護管理者がその用紙に確認印を押すようにすればいいでしょう。

・そして、上記点検項目のc)ですが、これはすべての個人情報について実施を求めているものではありません。
ファイルサーバなどを用いて情報を共有しているのであれば、そのファイルサーバのアクセスログを点検するといった程度でいいでしょう。
・アクセスログですが、Pマークのためだけにわざわざ高価なログ取得システムを導入する必要はありません。
もちろん、重要な情報を保有していて、何かあった場合に会社に大きなダメージがあると考えられるのであれば、Pマークの審査とは関係なく、
会社のリスク管理の一環として導入するのは有益でしょう。会社によっては例えばWindowsのイベントビューアで確認するので十分ということもあるかもしれません。
・アクセスログの点検の記録はどのように残すのか。アクセスログをすべて印刷する必要はもちろんありません。
いつ、どのサーバのアクセスログを点検したのか、その際にどのような異状があったのかなどの所見を書いてサインかハンコを押すようにしておけばいいでしょう。
・どのくらいの頻度で点検するべきか。実施可能な頻度となると思いますが、月に1度とか3ヵ月に1度とかといったかんじでしょうか。
こちらの頻度は実施可能な頻度で、あっさりしつこく行う方がいいでしょう。

＼ お問い合わせフォームはこちら ／
WEBお問い合わせ