先日、プライバシーマークを取得のための現地審査を受けました。
どうもヘッポコです。
その内容は・・・まぁ以下のサイトの記事を読んでしまえばその通りなんですが。
http://www.juas.or.jp/privacymark/sinsa.html
自分はシステム担当なのでシステムの内容をもう少し掘り下げて、ここで紹介したいと思います。
現地審査の全体の流れは・・・
1.代表者インタビュー
2.運用状況の確認
3.現場状況の確認
といった所です。会社の規模にもよるかもしれませんが、現地審査には5~6時間かかります。
審査員は2名でした。思っていたよりもご年配の方でした。
審査と言っても、審査員もそこまで厳しく問い詰めるような雰囲気ではありませんでした。
審査側も審査を通らせないようにするのではなく、通るために「しっかりやってますか?」
「ここはこうした方がいいので、なおしてください。」というような感じです。
基本的に審査に通らないという事は無いです。・・・というと少し違うかもしれませんが。
諦めなければ!と付け加えます。
要するに、指摘事項があると直してくださいと言われ。
直しました。
まだここがダメなのでもう一度・・・
の繰り返しみたいです。なので時間はかかるかもしれないですが、いずれは取れると。
現地審査もよほどひどい現地審査結果でなければ、再度行われる事はないそうです。
提出書類の修正や、不足資料の作成が指摘に出やすいみたいです。
それでは全体の流れの方に戻ります。
代表者インタビューは当然代表者が現地審査員にインタビューされます。時間は1時間弱くらい。
ここで聞かれるのは。
・御社はどんな会社?どんな事している?
・プライバシーマークは何のために取得?
・個人情報保護管理者、内部監査役にその人を任命した理由は?
などです。ここは省略。
次に運用状況の確認。
主に個人情報保護管理者に対して審査員からどんな管理してますか?という所の質問。
この時間が一番多いと思うので、個人情報保護管理者がとにかく大変です。
準備しなければいけないのは主に管理資料、預かった個人情報をこの資料で
こんな運用ルールで 管理してます。万が一の時はこのように対処しますというリスク対策表。
・・・などです。他にも年に一度社員に個人情報に対する教育・テストを実施しているという
エビデンス。 ・・・後は個人情報保護マネジメントシステム(PMS)に準じている事です。
この後に内部監査役に対しても質疑はありますが、割愛します。
内部監査結果と、ダメだった所、ダメだった所の後の対策、何を持ってOKとしたのか?などです。
そしてここまで終わると、いよいよシステム技術周りの質疑が開始されます。
ヘッポコの出番です。
資料として用意したのはネットワーク図のみでした。
資料をもとに、各サーバ(DB、WEB、メール)の場所、アクセスログ取得の有無、
アクセスログの確認頻度、データバックアップの有無、バックアップの取得頻度、
アクセスログおよびバックアップの削除タイミング・・・を主に聞かれました。
特に意識されていたのはサーバの場所でした。
社内、データセンター、レンタルサーバ、クラウド・・・特に何が良くて、何が悪いという事は
無いようですが、その環境において安全対策が取られているかを問われます。
サーバの場所はサーバ室などのセキュリティで管理された場所にある事などです。
レンタル、クラウドは利用してなかったので、問われませんでしたが、それ自体がNGという事は
ないそうです。重要なのは管理と情報漏洩等の安全対策 。
後はUPS(無停電電源装置)の有無ですね。要するに突然電源が遮断された時にサーバの
データが失われたりする事は無いか?という問いです。
自社で管理して利用しているのならばそれでいいのですが、大きな建物やデータセンターだと
それ自体で数時間程度の電力供給力を備えているので、その事実を把握しておき、
問いに答えれば良いです。
後は社員が利用するクライアント端末のセキュリティ面について。
ウィルスバスター等のアンチウィルスソフトの適用と適用されている場合はその更新頻度。
ソフトウェアのインストール・アップデートの管理は管理者のみに権限で制御しているなど。
ログインユーザのパスワード管理はパスワードの変更頻度はどのくらいか?このあたりは
AD(ActiveDirectory) を使って居れば一括管理できると思うので、その事を答えたら
いいと思います。設定を見せろと言われるかもしれませんが。
スクリーンセーバーは5分以内で必ず設定してください。これは重要な事です。
後は実際のサーバを見せてほしい、管理している場所などを見せてほしいという事が
あるので見せられる範囲で案内します。
全体としてはこんな所です。約30~60分程度。
ただWEBで個人情報の入力(お問合せ入力、アンケート、インターネットショッピング等)を
行っているともっと大変だと思います。
クロスドメイン、SQLインジェクション、SSLの利用等のWEBセキュリティ 対策を深く問われる
と思います。審査時間も延びるでしょう。
以上が、ざっくりですが現地審査の無いようです。
結果は当日、現地審査に来ていただいた審査員からまずは口頭で報告を受けます。
指摘事項がゼロという事は無いようですが、資料の修正などを少ししたら
OKです。等の連絡を受けます。
ここでOKが出たとしても、実はこの先に本審査があるのですが、この現地審査がOKとなれば
よほどの見落としが無い限り、本審査も通るそうです。
現地審査終了後、指摘事項の修正報告や少しのやりとりを経て、1ヶ月か1ヶ月半後には
プライバシーマークの利用許可が出ます。
長くなりましたが以上です。
会社の規模が大きかったり、色々なサービス展開をしていると審査も大変になるようなので
取得を検討されている企業は頑張ってください。
お疲れさまでした。
