プライバシーマークの要求の趣旨は「年に1回の内部監査だけではチェックが十分ではないので、運用状況を定期点検する」ということにあります。
確かに、セキュリティ対策の実施状況などを年に1回しか確認しないというのは、その実効性に疑問が残ります。高度な情報システムを導入して強制力の高い管理を実現出来ている大企業ですら例外ではないのに、そうではない多くの中小企業にとって、年に一度だけ「パスワードは決められた時期に変更しているか」「個人情報を適正に取得しているか」といったアナログ運用を、年1回しか確認しないことのリスクは、言わずもがなです。
プライバシーマークの要求を見ると「運用の確認」という言葉を使っているところから、マネジメントシステムのあらゆる側面、というよりは「運用上重要な側面」について、確認項目を設定する必要があります。
コンサルティングでご支援させていただく中で、「どんな項目を設定したら…」という点も、よくご相談を受けます。プライバシーマークの審査においては、確認項目の明確な審査基準はありませんが、例えば以下のような論点は参考になるかもしれません。
・実施頻度の高い運用(入退室記録、システムへのアクセスログチェック、バックアップの適正処理確認など)
・担当者が、目で見て容易に分かる運用(個人情報の入った書類を丸めてゴミ箱に捨てていないか、パソコンの電源を切らずに帰宅している者がいないかなど)
・内部監査や外部審査で、過去に不適合となったポイント
・リスク分析の結果、認識されたリスクに対応する安全管理措置
なお、運用の確認において不具合やルール違反などが発見された場合は、きちんと「3.8是正処置」の手順に沿って原因分析や処置を行い、記録を残す必要があります。
コンサルティングをご依頼いただいた企業様には、プライバシーマークに関する詳しい情報を個別でご解説いたします。オンラインでの遠隔支援にも対応しています。詳しくは、プライバシーマーク取得支援コンサルティングをご覧ください。
