このエントリーをはてなブックマークに追加  
 [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】
シンプルeラーニング研修

プライバシーマークの取得に必要な最低限の設備

プライバシーマークはISMSと違ってあまり過度な設備投資を要求していません。
よく指紋認証ドアが必要ですかと想像を膨らませて質問される方もいらっしゃいますが、全く必要ありません。 来客用のノートを受付に置いておけばそれでOKです。

以下は代表的な備品の例です。

  • 鍵付き書類ロッカー
  • シュレッダー
  • PC用ワイヤーロック
  • PC用耐震ストッパー
  • パーテーション
  • 無停電電源装置(UPS)
  • WebサイトのSSL対応
  • Webサイト問い合わせフォームの改修
  • サーバラック

鍵付き書類ロッカー


個人情報の含まれた書類を保管するために必要です。すでにオフイスに鍵付き書類ロッカーが有る場合は購入不要です。 (ただし扉にガラスを使用しているものは、中が見えるので現地審査で指摘が出ます。)

シュレッダー


印刷した書類に含まれる個人情報を廃棄するために使用します。
書類廃棄を業者に委託している場合は必須ではありませんが、書類を溶解処理する業者を委託先として評価する必要があります。

PC用ワイヤーロック


ケンジントンロックともいい、デスクトップパソコンの盗難防止に使用します。
ノートPCはワイヤーロックを使用しなくても、帰宅時に鍵付きロッカーに保管するルールでも問題ありません。

PC用耐震ストッパー


PC用耐震ストッパーは必須ではありませんが、現地審査で指摘する審査員もいます。東日本大震災を経験した今後は指摘されるケースが増えるかもしれません。

パーテーション


オフイスのレイアウトを変更できない場合など、外来者から社内のPC画面等を直接見られないようにパーテーションを設置します。

無停電電源装置(UPS)


UPSは非常用バッテリーです。個人情報の保管してあるサーバに接続して急な電力の遮断に備えます。計画停電を経験した今後は指摘されるケースが増えるかもしれません。

WebサイトのSSL対応


Webサイトに問い合わせフォームが有る場合SSLに(情報暗号化送受信)対応しているか現地審査で指摘する審査員がいます。一方で指摘しない審査員もいます。

Webサイト問い合わせフォームの改修


Webサイトの問い合わせフォームには名前、住所、メールアドレスといった個人情報を入力してもらう必要上、個人情報の適正な取得に配慮する必要があります。

適正な取得を実現するために、問い合わせフォームを修正する必要があります。 個人情報を適正に取得できるメールフォームとは

サーバラック


サーバー的なパソコンは、水対策として直に床に置かない方がのぞましいです。
通販のメタルラック程度で十分です。


設備に関しては審査員の個別方針(主観?)がそのまま基準となる

設備に関しては審査員の個別の方針により現地審査での指摘にかなりバラつきが生じます。
まれなケースですがWebデータベースなど「SQLインジェクション」対策はしてありますかとか指摘してくる審査員もいます。

事前に想定設備を全て導入するより最低限の対応を取り、現地審査の指摘後に改善策として追加で設備を導入するのがコストを押さえる秘訣です。

プライバシーマークの取得要件を満たす事務所

自営業の方などオフイスが自宅と兼用の場合が多いかと思います。残念ですがこの場合現地審査をクリアするのは難しいです。 しかし事務所と自宅の入り口が独立している場合は問題なく、プライバシーマークを取得できます。


またワンフロアに二つの別な会社が入居している場合などは、パーテーションの設置、色違いの名札を付ける等の工夫でプライバシーマークの審査に合格することができます。

プライバシーマークの取得に必要な総予算を確認してみましよう 取得に必要な総予算合計


【コラム】

プライバシーマークの審査員にも細かい人とそうでもない人がいます。これは審査される側からするとはっきりと当たりハズレの世界です。

JIPDECとしての一定の審査基準はあるのですが裁量は各審査員にまかされています。

WebページのSSL対応を現地審査で指摘されたら、サイトを複数保有する企業にとっては結構痛い出費になります。

実話ですが、ISMS寄りの審査をする審査員がWeb入力ページの「SQLインジェクション対策はしてありますか」と指摘してきたケースがあります。

指摘された会社は「そんなめんどくさい指摘には対応できない」としてWeb入力ページの公開をやめてしまいました。 (それでPマークはとれました)

更新審査で「最終退出だけではなく、PC機器の電源OFFの管理簿もつけろ」と指摘した審査員もいます。(普通そんな指摘はありません)
運用記録のエビデンスを残すのが大変なの、でもうプライバシーマークの次回更新はしません」 とその会社の個人情報保護管理者は嘆いてます。

あまり細かな現地審査での指摘は本末転等ですが、IT化が時代の流れである以上プライバシーマークの審査がISMS(ISO27001)寄りになっていくのは仕方ないかもしれません。




【当社(アーチ株式会社)プライバシーマーク取得支援コースです】
プライバシーマーク取得費用1分自動お見積り プライバシーマーク取得 「込みこみ」【松】コース詳細 プライバシーマーク取得 「スタンダード」【竹】コース詳細 プライバシーマーク取得 「自社活用」【梅】コース詳細
ISMS取得費用

Tel  03-6304-8088 ( 10時~18時、土日祝除く )  Fax 03-6304-8089 ( 24時間 )

Copyright(C) 2011 ★プライバシーマーク・ISMSコンサルティング アーチ株式会社   メールでのお問い合せ