認証取得に関するコラム
Pマーク要求解説④3.7.1「運用の確認」

プライバシーマークの要求の趣旨は「年に1回の内部監査だけではチェックが十分ではないので、運用状況を定期点検する」ということにあります。

確かに、セキュリティ対策の実施状況などを年に1回しか確認しないというのは、その実効性に疑問が残ります。高度な情報システムを導入して強制力の高い管理を実現出来ている大企業ですら例外ではないのに、そうではない多くの中小企業にとって、年に一度だけ「パスワードは決められた時期に変更しているか」「個人情報を適正に取得しているか」といったアナログ運用を、年1回しか確認しないことのリスクは、言わずもがなです。

プライバシーマークの要求を見ると「運用の確認」という言葉を使っているところから、マネジメントシステムのあらゆる側面、というよりは「運用上重要な側面」について、確認項目を設定する必要があります。
コンサルティングでご支援させていただく中で、「どんな項目を設定したら…」という点も、よくご相談を受けます。プライバシーマークの審査においては、確認項目の明確な審査基準はありませんが、例えば以下のような論点は参考になるかもしれません。
・実施頻度の高い運用(入退室記録、システムへのアクセスログチェック、バックアップの適正処理確認など)
・担当者が、目で見て容易に分かる運用(個人情報の入った書類を丸めてゴミ箱に捨てていないか、パソコンの電源を切らずに帰宅している者がいないかなど)
・内部監査や外部審査で、過去に不適合となったポイント
・リスク分析の結果、認識されたリスクに対応する安全管理措置

なお、運用の確認において不具合やルール違反などが発見された場合は、きちんと「3.8是正処置」の手順に沿って原因分析や処置を行い、記録を残す必要があります。

認証取得お役立ち情報一覧に戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。


帝国データバンクNC

ISO27001
情報を適切に管理・運用し、一定以上のセキュリティレベルに。
プライバシーマーク
個人情報に対して適切な保護措置を講ずる体制を整備。
お問い合わせ・資料請求