システム担当者がサーバーへアクセスし目視にて点検するということで審査上、問題ないでしょうか?
プライマシーマークサンプル文書集の「PMS-B01 個人情報取扱及び保護規程」について質問があります。
「3.2.4技術的安全管理措置」の「(4)アクセスの記録 1)システム使用状況の監視」において、サーバーにて共有データ等を保管、運用しておりますが、これらはシステム担当者がサーバーへアクセスし、目視にて点検するということで審査上、問題ないでしょうか?
ログ等を印刷してエビデンスとするのは大変な労力と考えますが、点検簿を作成し、目視にてログ管理を行いチェックマークと点検者のサインで行おうと思っておりますが、問題ないかご教示ください。
結論から申し上げますと、「システム担当者による目視点検+点検簿への記録(サイン)」という運用自体は、審査上全く問題ありません。
全てのログを印刷する必要はなく、実務的に持続可能な方法で「監視の形跡」を残すことが重要です。
1. ログ監視の目的と審査のポイント
審査員は、ログが単に取得されているかだけでなく、以下の2点が実務として機能しているかを重視します。
- 不正の抑止:
定期的にチェックされていることで、不正操作を防ぐ心理的障壁となっているか。 - 事後の追跡:
万が一のインシデント時に、原因究明ができる状態にあるか。
2. 推奨される実務運用
ご検討されている「点検簿による管理」をより確実なものにするため、以下の運用をお勧めします。
- 点検簿の構成:
点検日、点検者印に加え、「確認項目(例:異常な時間帯のアクセスはないか、連続したログイン失敗はないか等)」を明確にしておくと、目視点検の妥当性が向上します。 - ログの保管:
ログ自体は電子データのままサーバー内に一定期間(例:1年など)保存されていれば、エビデンスとして有効です。紙に出力して保管する必要はありません。 - 異常時のフロー:
もし目視で異常を発見した場合に、どのように上長へ報告し対応するかという手順が定まっていると、審査での評価がより高まります。
3. 審査員への説明方法
「なぜ全てのログを詳細に解析しないのか?」と問われた場合には、以下の趣旨で回答できるよう準備しておくとスムーズです。
「当社の情報システム環境とリソースを考慮し、リスクの高いサーバーに絞って定期的な目視点検を行っています。異常の兆候(ログインエラーの頻発等)を確認することに主眼を置き、万が一の事後調査には電子データとして保存しているログを活用できる体制を整えています」
4. アドバイス
ログには、監視することによる「不正抑止」と「事後調査」の役割があります。よって、事後に何らかのインシデントが発見された際、ログは重要な役割を果たします。
ログ管理はやみくもに量を増やすと管理コストが膨大になります。まずは「共有サーバーのログイン記録」など、貴社にとって最も重要な箇所に絞り、着実に点検簿を回せる(=形骸化しない)運用を優先してください。
なお、ログの取り方などは色々な方法があり、セレキュルティレベルの話になりますので、そのようにした理由を審査員に説明ができるのであれば問題は無いかと思います。
