プライバシーマーク取得の現状
プライバシーマーク取得の現状
プライバシーマークは2005年の7月以降、個人情報保護法のガイドラインを訂正し、かなり厳しくファイルサーバのログ監視を要求する様になってきました。ガイドラインの「安全管理措置」という項目では、以下の様に記述されています。
法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
組織的安全管理措置
- 個人データの安全管理措置を講じるための組織体制の整備
- 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
- 個人データの取扱状況を一覧できる手段の整備
- 個人データの安全管理措置の評価、見直し及び改善
- 事故又は違反への対処
人的安全管理措置
- 雇用契約時における従業者との非開示契約の締結、及び委託契約等(派遣契約を含む。)における委託元と委託先間での非開示契約の締結
- 従業者に対する内部規程等の周知・教育・訓練の実施
- なお、管理者が定めた規程等を守るように監督することについては、法第21条を参照。
物理的安全管理措置
- 入退館(室)管理の実施
- 盗難等の防止
- 機器・装置等の物理的な保護
技術的安全管理措置
- 個人データへのアクセスにおける識別と認証
- 個人データへのアクセス制御
- 個人データへのアクセス権限の管理
- 個人データのアクセスの記録
- 個人データを取り扱う情報システムについての不正ソフトウェア対策
- 個人データの移送・送信時の対策
- 個人データを取り扱う情報システムの動作確認時の対策
- 個人データを取り扱う情報システムの監視
プライバシーマークの取得、及び更新に関しては、上記のガイドラインを遵守した場合、
現実的にはファイルサーバのログ監視が出来なければ、取得・更新に問題が有る事が判って来ています。
今迄では、確かにファイルサーバのログ監視という部分はおざなりにされて来ていました。
しかし、これからは確実に問題になるのです。
ファイルサーバのログ監視はPC操作のログ監視とは違います。PC操作のログは、各クライアントのPC内部の操作項目をチェックするだけであり、通常社内の「個人情報保護ガイドラインに」則った場合には、「個人情報」は各クライアント内には存在しないはずだからです。ですから、既にPC操作のログを取る製品を持っていたとしても、プライバシーマークの取得や更新には引っかかる可能性も高い、という事を是非ご理解頂きたいのです。
通常の個人情報は、ファイルサーバという「共有フォルダ」領域を持つサーバに入っている事が多いはずなのです。その際にファイルサーバのログを監視するには、ファイルサーバ内にログを取得するソフトウェアを入れるか、ファイルサーバのログを外部から監視して、クライアントPCとファイルサーバ間のログをきちんと取得可能なツールの存在が必要不可欠になって来るのです。ですから、これからはプライバシーマークを取得したり更新したりする場合には、「ファイルサーバーのログ監視」は必須項目になるという事を、是非ご記憶頂きたいのです。
今迄のファイルサーバのログ監視ツールは、上記の様に実際いくつか存在していましたが、非常に大きな3つの問題点がありました。
- 導入費用が高い
- 設置や設定に非常に時間が掛かる
- Windowsのサーバには対応しているが、MacサーバやNASサーバには未対応
これらはログ監視ツールを導入するにあたり、大変大きな壁となっていました。費用の面ではギガビットのネットワークの場合、ソフトウェアだけで300万円程度はかかっていました。ログ監視に係るコストは大変高価でした。これでは大企業しか導入出来ないと言われても仕方がありません。また設置に至っては、ハイエンドなサーバを新規導入してソフトウェアをインストールしなければならず、設置後の設定など、大変な時間と手間が掛かっていました。
更に市場がWindowsサーバしかログ監視出来ないツールばかりの為、とあるプライバシーマークコンサルト様はなんと、「Macをやめて全社Windowsにして下さい。」という指導までしてしまっていたのです。
経営資産であるMacを廃棄し、会社のデータ資源を全くの無駄にするとは、一体どういう事なのでしょうか?
非常に勿体無い事だと思うのです。