Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)の安全管理ってどこまでやればいいの?

2019年7月7日

今回はPマーク(プライバシーマーク)の安全管理措置について2つの切り口からご説明します。

①物理的な安全管理措置について

1つ目は物理的な安全管理措置についてです。

物理的な安全管理措置とは、事務所や各拠点への入退館(室)管理や、各媒体で保管している個人情報の盗難等の防止策の実施、機器・装置等の物理的な保護等です。

入退館(室)管理については、自社の人員、外部の人員がいつ入出したのかが分かるようになっていれば良いです。特別な機器を新たに導入する必要はありません。
例えば、社内の人員の管理は入退出の管理表等を用意して最初の入出者、最終退出者を記載して管理しておけば大丈夫です。

外部の人員の管理については来訪者管理表等を用意し、セキュリティエリアに入った際に記載して管理が必要です。
社内で個人情報の漏洩事件や事故があった際に、後からいつだれが入退室していたのかを追っていくための管理になります。
もちろんセキュリティを高める為に新たな設備を入れたほうが漏えいのリスクは減りますが、Pマーク(プライバシーマーク)の現地審査ではそこまでは求められておりません。

盗難等の防止については個人情報を記録した媒体(紙、外部記憶媒体)を施錠保管していること、個人情報を記録した媒体(紙、外部記憶媒体)の廃棄は、再利用できない措置を講じていること等です。

施錠保管に関しては紙、USBメモリ、CD、外付けハードディスク等は施錠保管が必須になりますが、施錠管理以外の盗難対策の実施でも大丈夫です。

個人情報を記録した携帯可能なコンピュータ等についての盗難防止措置については、こちらも、施錠保管や、チェーンロック等での盗難防止対策が必要になります。

廃棄については、紙媒体はシュレッダー等を利用して再利用できないようにする必要があります。外部記憶媒体も同様に物理的な破壊をして再利用できないようにする必要があります。
こちらも、廃棄業者を利用して溶解処理や、廃棄を依頼することはできますが自社で再利用や、復元できない形で廃棄をしていれば新たに費用をかけて外部に依頼する必要はありません。

②技術的な安全管理措置について

2つ目は技術的な安全管理措置についてです。

技術的安全管理とは主にPC等に保存されているデータの安全管理です。

個人情報へのアクセスにおいてID、PW等による認証を実施する必要があります。これは必須になります。

盗聴される可能性のあるネットワーク(インターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていることが必要です。
具体的にはウェブサイトから本人から個人情報を入力させる場合に、SSL化、SQLインジェクション及びクロスサイトスプリクティング対策等の措置を講じる必要があります。

最近のPマーク(プライバシーマーク)現地審査で良く見られていることが、個人情報へのアクセス記録の確認です。
情報システムへのアクセスログの取得状況は必ずチェックされます。

アクセスログとは社内サーバやクラウド等の個人情報を保管している情報システムへのアクセスや操作の成功と失敗の記録です。
アクセスログを取得、保管し、定期的に確認する必要があります。

Pマーク(プライバシーマーク)を取得していない企業ではアクセスログを取得していなかったり、取得していても確認方法が分からなかったりするケースが多いです。
現地審査の際には必ずチェックされますのでPMS運用の前に改めてアクセスログの点検方法を確認しチェックの運用をする必要があります。

まとめ

安全管理措置については各局面について全ての対策を実施するのが望ましいですが、全ての対策を実施すると、費用的、人的、業務的な面において現実的に難しいことが出てくるかと思います。
例えば、入退出の管理をICカードの導入によりオートロックにしたり、データ入力の際に必ず二者確認をしたり等です。

ですので、社内でリスクを洗い出して現実的に出来る範囲の部分で問題ありません。
重要なのは自社でリスクをしっかりと認識して対策を実施することです。

費用をかけて新たに設備等を導入すれば安全の確認がしやすくなり、よりセキュリティが高まる事は事実です。

しかし、Pマーク(プライバシーマーク)の取得、PMS(個人情報保護マネジメントシステム)の運用の為に新たに費用をかけるのではなく、実務に費用を当て、費用をかけずにPMS(個人情報保護マネジメントシステム)を運用することは可能です。
そのために、弊社コンサルタントが他社の事例や、現地審査の傾向から運用方法の提案のお手伝いをさせて頂きます。

また、当たり前ですが、社内のセキュリティを高めたいからといって、例えば消防法等の法令に違反する設備を構築するようなことは出来ません。

今回ご説明させて頂きました安全管理措置は一部になりますが、最近のPマーク現地審査で見られているポイントになります。

弊社ではPマーク(プライバシーマーク)の新規取得以外にも現状運用中のお客様のお手伝いもさせて頂いております。
Pマーク(プライバシーマーク)やISOでお困りのことがございましたら弊社までお気軽にお問い合わせください。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。