「プライバシーマーク取得に設備やシステムは必要なのか」
当社のプライバシーマークセミナーでもよく受ける質問のひとつである。
そこで本日は、プライバシーマークを取得するには「セキュリティ設備やセキュリティシステム」の導入が必須なのかを説明する。
現時点のセキュリティ設備やセキュリティシステムのままで、プライバシーマーク取得が可能なのか疑問に思われているあなたに読んでもらいたい。
プライバシーマーク取得に必要な設備やシステムとは
ここでいうセキュリティ設備やセキュリティシステムとは、個人情報への不正アクセス、個人情報の漏洩、滅失又は毀損の防止その他の個人情報の安全管理のために必要な設備やシステムのことを言う。
プライバシーマーク取得に必要な設備やシステムは、「個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」の「第二部 JIS Q 15001:2006 各要求事項についてのプライバシーマーク付与適格性審査の基準」から読み取れる。
「個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」には、「3.4.3.2 安全管理措置」として、「物理的安全管理措置」と「技術的安全管理措置」の2つが求められており、その安全管理措置を行うために必要な設備やシステムが「プライバシーマーク取得に必要な設備やシステム」と言える。
会社で必要な設備やシステムは選択できる
先に結論から言ってしまえば、プライバシーマークには設備要件やシステム要件が存在しない。
つまり、設備やシステムがなくてもプライバシーマークは取得が可能である。
何度も言うが、プライバシーマークを取得するためには、「物理的安全管理措置」と「技術的安全管理措置」の2つを講じなければならない。
その講じなければならない事項は、「個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」の「第二部 JIS Q 15001:2006 各要求事項についてのプライバシーマーク付与適格性審査の基準」に定められている。
具体的には以下のように記載されている。
| 物理的安全管理措置 | |
| 1.入退館(室)管理の実施 | (1) 建物、室、サーバー室、個人情報の取扱い場所への入退を制限していること。 |
| (2) 建物、室、サーバー室、個人情報の取扱い場所への入退の記録を取り、保管していること | |
| (3) 建物、室、サーバー室、個人情報の取扱い場所への入退の記録を定期的にチェックしていること。 | |
| 2.盗難等の防止 | (1) 離席時に個人情報を記した書類、媒体、携帯可能なコンピュータ等を机上に放置していないこと。 |
| (2) 個人情報を取り扱うコンピュータの操作において、離席時は、パスワード付きスクリーンセーバーの起動又はログオフを実施していること。 | |
| (3) 個人情報を記録した媒体(紙、外部記録媒体)は施錠保管していること。 | |
| (4) 個人情報を記録した媒体の保管場所の鍵は特定者が管理していること。 | |
| (5) 個人情報を記録した媒体(紙、外部記録媒体)の廃棄は、再利用できない措置を講じていること。 | |
| (6) 個人情報を記録した携帯可能なコンピュータ等について、盗難防止措置を講じていること。 | |
| (7) 携帯可能なコンピュータやUSB メモリ、CD-ROM 等の外部記録媒体の利用についてルールを定め、それを遵守していること。 | |
| (8) 個人情報を取り扱う情報システムの操作マニュアルを机上に放置していないこと。 | |
| 3.機器・装置等の物理的な保護 | (1) 個人情報を取り扱う機器・装置等について、安全管理上の脅威(盗難、破壊、破損等)や環境上の脅威(漏水、火災、停電、地震等)から物理的に保護する装置を導入していること。 |
| 技術的安全管理措置 | |
| 1.個人情報へのアクセスにおける識別と認証 | (1) 個人情報へのアクセスにおいて、識別情報(ID、パスワード等)による認証を実施していること。 |
| (2) 個人情報を格納した情報システムについて、デフォルトの設定を必要に応じて適切に変更していること。 | |
| (3) 識別情報の発行・更新・廃棄は、ルールに従っていること。 | |
| (4) 識別情報を平文で記録していないこと。 | |
| (5) 識別情報の設定及び利用は、ルールに従っていること。 | |
| (6) 個人情報へのアクセス権限を有する従業者が使用できる端末又はアドレス等について制限していること。 | |
| 2.個人情報へのアクセス制御 | (1) 個人情報にアクセスできる従業者の数は必要最小限にしていること。 |
| (2) 個人情報にアクセスできる識別情報を複数人で共用していないこと。 | |
| (3) 従業者に付与するアクセス権限は必要最小限にしていること。 | |
| (4) 個人情報を格納した情報システムの同時利用者数を制限していること。 | |
| (5) 個人情報を格納した情報システムの利用時間を制限していること。 | |
| (6) 個人情報を格納した情報システムを無権限アクセスから保護していること。 | |
| (7) 個人情報にアクセス可能なアプリケーションの無権限利用を防止していること。 | |
| (8) 個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性を検証していること。 | |
| 3.個人情報へのアクセス権限の管理 | (1) 個人情報にアクセスできる者を許可する権限管理を適切かつ定期的に実施していること。 |
| (2) 個人情報を取り扱う情報システムへのアクセスは必要最小限であるよう制御していること。 | |
| 4.個人情報へのアクセスの記録 | (1) 個人情報へのアクセスや操作の成功と失敗の記録を取得し、保管していること。 |
| (2) 取得した記録について、漏えい、滅失及びき損から適切に保護していること。 | |
| 5.個人情報を取り扱う情報システムに関する不正ソフトウェア対策 | (1) ウイルス対策ソフトウェアを導入していること。 |
| (2) OS やアプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆるセキュリティパッチ)を適用していること。 | |
| (3) 不正ソフトウェア対策の有効性・安定性を確認していること。 | |
| (4) 個人情報にアクセスできる端末にファイル交換ソフトウェア(Winny、Share、Cabos等)をインストールしていないこと。 | |
| 6.個人情報の移送・通信時の対策 | (1) 個人情報の受渡しには授受の記録を残していること。 |
| (2) 個人情報を媒体で移送するときに、移送時の紛失・盗難が生じた際の対策を講じていること。 | |
| (3) 盗聴される可能性のあるネットワーク(例えばインターネットや無線LAN 等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること。 | |
| 7.個人情報を取り扱う情報システムの動作確認時の対策 | (1) 情報システムの動作確認時のテストデータとして個人情報を利用していないこと。 |
| (2) 情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないことを検証していること。 | |
| 8.個人情報を取り扱う情報システムの監視 | (1) 個人情報を取り扱う情報システムの使用状況を定期的にチェックしていること。 |
| (2) 個人情報へのアクセス状況(操作内容を含む。)を定期的にチェックしていること。 | |
プライバシーマークを取得するためには、上記の安全管理措置をすべて行わなければならないが、ただし、その方法については会社で判断することが出来るので心配しないでいただきたい。
例えば、表の1行目の「1.入退館(室)管理の実施」で「(1)建物、室、サーバー室、個人情報の取扱い場所への入退を制限していること。」を確認してみよう。
これは、「個人情報の取扱い場所への入退室制限の措置を取ることが求められている」ということだ。
入退室制限と言っても、その方法は数多くある。
例えば、「ICカード認証や生体認証など、機械的なシステムによる認証を導入し、それぞれの場所について、業務上必要な者のみに入退の権限を与える。」と言った方法も取れるし、設備を導入しなくても「事前の約束のない来訪者は受け入れない。来訪者を受け入れる場合は必ず社員が帯同する。」と言ったアナログな手法もある。
どちらでも入退室制限の対策が行われているので、プライバシーマークの取得が可能である。
設備やシステムを導入して安全管理措置を行ってもいいし、導入せずにアナログで対応しても良いということだ。
安全管理措置の手法については、すべて会社で判断可能である。
プライバシーマークには設備要件やシステム要件が存在しないと言った理由はこのためである。
まとめ
プライバシーマーク取得に必要な設備やシステムは、会社の選択する安全管理措置によって変わる。
資源の少ない中小企業であっても、費用を抑え現実的な対策を行い、プライバシーマークを取得することは十分可能である。
実際に私のクライアントの多くは、ほとんど設備投資は行わない。
プライバシーマークを取得するために、設備投資をすることを否定しないが、本当に会社に必要なのかの判断はするべきであろう。
まずは、会社の規模に合った対策から始めることをお勧めする。