個人情報のバックアップを実施する手順について
「3.4.3.1正確性の確保」について質問です。
審査時のチェックポイント3において、「個人情報のバックアップを実施する手順が定められていること。」となっていますが、「個人情報取扱い規程」「委託先管理規程」「情報主体の権利管理規程」どれを見ても、バックアップに関する手順などの記載がないのですが、他の会社の方はどのように対応しているのでしょうか。
よろしくお願いします。
弊社ではバックアップはリスクアセスメントの結果(3.4.3.2 安全管理措置)から策定された技術的な安全管理措置であると捉えております。
よって、上記のご質問にあります規程では無く、「B11 通信・運用管理規程.doc」の”5.1 情報のバックアップ”にバックアップを行う項目や周期などを記述しております。
そちらをご確認下さい。
なお、バックアップの手順については各社で異なると思います。
各社において手順書が必要であると判断された場合は、各社で作成していただくようにしております。
ちなみに、多くの会社ではバックアップツール(市販ソフトなど)を使用されているところが多く、そのツールの付属マニュアルを手順書とされています。
※補足
弊社の構築パッケージでは、今回の様な手順書は各社によってその手順が異なりますので、手順書は必要に応じて顧客の方で作成していただいております。
弊社では、手順書などは特にご用意しておりません。
ソフトに付属されているマニュアルも立派な手順書ですので、審査員に細かな手順を聞かれた場合はその付属マニュアルをご提示下さい。
このような場合はあらためて手順書を作成する必要ありません。