「導入しなければいけない設備は何ですかね…」
昨日もプライバシーマークの営業先で質問されるました
。
皆さん、必ずお訊きになります。お金のかかることですからね。
プライバシーマークでは
、
「…個人情報の安全管理のために、必要、かつ、適切な措置を講じなければならない」(3.4.3.2 安全管理措置)と規格で定めています。
そして、“必要、かつ、適切”とは、経済的に実行可能な最良の技術の適用に配慮することを意味し、
“経済的に実行可能な最良の技術”とは、事業者の事業内容や規模によって異なるとしています。
要は、自社で取り扱う個人情報の内容やボリュームを考慮して、お財布と相談しながら、どのレベルまで安全管理を行うかを決めればよいことになっています。
とは言うものの…
おかしな話ですが、やらなければいけない不文律があります。
その一つがログの管理です。
自社でサイトをお持ちなら、アクセスログという言葉は聞いたことがあると思います。プライバシーマークでは、さらにシステムログの管理が求められます。
ネットワーク上のPCやサーバに保管されている個人情報ファイルに、いつ、だれがアクセスしたのかを把握する仕組みを構築する必要があります。
こんなことは規格のどこにも書いていないので、審査でいきなり指摘されて慌てふためくことも多いようです。
ログ管理用のソフトやシステムを導入することなります。以前に比べると安価になりましたが、ある程度の出費は覚悟しなければいけません。