バックアップの方法とサーバの施錠について。
「Privacy Mark サンプル文書集」に収録されている個人情報保護規定の内容についての質問です(2点あります)
<1点目>
3.4.3.1正確性の確保に記載されているバックアップについて、「定期的に指定した領域のバックアップを取り、バックアップデータ(バックアップメディア等)を適切な場所に保管すること。」記載されていますが、バックアップは何らかのメディアに保存しなければならないのでしょうか。
オンラインバックアップ(PCにあるデータを別のPCへバックアップツールにて定期的に自動転送する)のみでJIS Q 15001:2006およびプライバシーマーク取得審査の要件を満たせますか。
<2点目>
物的安全管理措置の入退室管理の中で、「事務所への最初入室者及び退室者は、フロアの入退室時間及びサーバラックの開錠・施錠時間等を開錠施錠確認記録簿に記録・管理する」とありますが、サーバの施錠は必ず行わなければならないでしょうか。
(サーバの設置場所が民間マンションの1室で、基本的に社員以外は入室しない。社員以外が入室する場合は、必ず社員が一緒にいることが前提とします。)
宜しくお願い申し上げます。
<1点目>ですが、現状でも問題は無いかと思います。
セキュリティレベルをどこまで高めるかは、自社で行なわれるリスクアセスメントの結果によって各社でも異なります。
よって、審査時にどのような観点、残存リスクなどを意識してセキュリティレベルを設定したかを回答できることも、審査では重要なポイントになりますので、ご注意ください。
<2点目>に関してですが、諸条件には関係なく、最近の審査の傾向では、毎日の開錠施錠の実施及び記録・管理は、ほぼ必須事項になっています。
よって、実施及び記録・管理されることをお勧めします。
なお、プライバシーマークの審査においては、審査員の質のばらつきがまだまだ残っているとの報告もあります。
上記2点においては、通常の見解を示させていただいておりますが、稀にでありますが、審査員によっては、異なった見解をされる可能性もあります。
