セキュリティ・チェックシート

本日午前中、Ｐマーク取得顧問先による実地調査
来社したのはＩ社から２人、Ｃ社から１人
主に下記のセキュリティチェックシートによる聴き取り

※当書類は、委託業務契約を締結する際の審査根拠資料となります。
※確認項目は、委託契約会社様全体ではなく、当該業務に当たって個人情報を取り扱う範囲に対して適用します。

●第三者資格
○個人情報保護
・プライバシーマークを取得している
○情報セキュリティ
・ISO/IEC27001を取得している

●個人情報保護方針
○策定している
・JIS Q 15001の「4.2個人情報保護方針」に記載されている6つの事項が記載されている

●規程類について
○個人情報保護管理規程
・個人情報保護管理規程を策定し、代表者による承認の下、関連する従業者で共有されている
○罰則
・違反した場合の罰則規定を策定している

●運用・管理体制
○個人情報保護の運用/管理体制や組織
・個人情報保護の運用・管理体制や組織が、継続的にスパイラルアップするように策定されている
○緊急対策
・漏洩事故等が発生した場合の初動、対策会議方法、再発防止など、緊急対策が規定されている

●システム環境
○システム運用・管理体制
・システムセキュリティポリシーが規定されている
○ネットワーク/セキュリティ管理
・外部のネットワークからの不正侵入に対して適切な防護策を講じているか(ファイヤウォール機能実装等)
・情報システム(PCやサーバ等)の脆弱性対策の為、パッチ適用やUpdateを遅滞なく行われる施策を講じている
・コンピュータウイルス対策の為のパターンファイルを常に最新にする仕組みが確立され、実施している
○アクセス管理
・ダウンロードできるPCは必要最低限に限定し、PCを取り扱う権限を必要最小人員に限定している
・ダウンロードできるファイルを限定している
・ID・パスワードの付与・削除ルールが確立され運用されている
・パスワードは定期的に変更され、変更されているかチェック機能がある
・個人データが含まれるファイルをサーバにて一括管理し、アクセス権限を必要最小人員に限定している
○端末管理
・持ち出し可能なノートPCに盗難時のリスク等を踏まえ、データの暗号化がされている
・個人情報を含むPCにはスクリーンセーバーを設定し、解除にはパスワード等の制限をしている
・ノートPCを社外に持ち出し禁止にしている
・持ち出し可能なノートPCを利用者が退社する際に、施錠可能な場所に保管している
○システムロギング
・個人情報を含んだデータのサーバ等へのアクセスログが記録され、不正の形跡がないか定期的にチェックし、不正が見つかった場合の処置を規定している

●エリア管理
○アクセス管理
・個人情報を含んだ物品を取り扱うエリアの範囲を必要最低限に限定している
・個人情報を含んだ物品を取り扱うエリアヘの入出室権限を必要最小人員に限定している
・個人情報を含んだ物品を取り扱うエリアは常時施錠されている
・個人情報を含んだ物品を取り扱うエリアの入退室のログ記録を定期的に行っている
○記憶媒体持込/持出し
・携帯電話、リムーバブルメディア(FD・MO・USBメモリ等)の持ち込み・持ち出しを制限している

●個人情報を含む物品の取り扱い
○授受
・外部および社内部門間での受渡方法が策定されている(物品名、授受時間、授受担当者名、返却予定日、受領など、物品の状態や経路が記録されている)
○保管
・個人情報を含む物品の保管ロッカーなどの施錠セキュリティレベルや方法、施錠管理者、施錠可能者、関係の無い人が触れられないなどが明確にされている
○返却・廃棄
返却・廃棄(媒体毎の方法、時期等の明確化)

●教育・啓蒙活動
○教育
・従業者を対象に教育を実施しているか(新入社員入社の場合、随時実施している)
・定期的(年1回以上)従業者に対して教育を実施している
○啓蒙活動
・関係他社に対する教育を実施している     

●監査
○実施計画と実施
・内部監査規程を策定している
・最低年1回以上、内部監査を実施している
・個人情報を委託する会社に対する監査を実施している
○記録
・内部監査の結果が記録されている
○改善
・内部監査結果に基づき、改善作業が代表者や個人情報管理貰任者が主体となり行われている
○現地確認
・御社担当者が現地に赴き、セキュリティ確認をおこなうことができる     

●契約
○締結
・「JIS Q 15001 3.4.3.4」に則り、契約締結が可能である
・必要に応じて弊社が御社を監査することを契約内容に取り込み締結することができる

３年前の引越しはこのような調査を見越してのものだから
ハード的にはほぼクリアできる
パスワード管理で一部４文字となっているところを８文字以上に
スクリーンセーバーの設定を１５分から５分以下に
この程度ならば即対応可能

しかし個人情報データのパスワード付きZIPでの送付は脆弱なため不可
メールでの添付はSMTPとPOPにコピーが残るため不可というのには参った

個人情報データを送る場合にはFTPを利用して
しかもSSLで暗号化というのがＰマークの要請らしい

顧問先の本番の監査は９月
その時点でこちらに係る指摘事項が挙げられれば改めてお願いするとのこと

筋向かいの大ボスの事務所には今のところこんな調査はないらしいが
今日のメンバーの話ではＰマーク取得事業所なら当然やるはずとのこと

顧問先には他にＰマークを取得している会社が数社ある
正直言って委託の要件にこんなものが並んだら
対応できるところは限られるのではないかなぁ

  　　　　   ぽちっとな
　
お願い：この「社会保険労務士日記」は
人気ブログランキングの「法律・法学」と
にほんブログ村の「士業・社会保険労務士」にエントリーしています

どちらもぽちっとするとランキングがちょっと上がり
私のモチベーションもちょっとアップします