ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

システム担当者がサーバーへアクセスし目視にて点検するということで審査上、問題ないでしょうか?

2021/06/14

プライマシーマークサンプル文書集の「PMS-B01 個人情報取扱及び保護規程」について質問があります。

「3.2.4技術的安全管理措置」の「(4)アクセスの記録 1)システム使用状況の監視」において、サーバーにて共有データ等を保管、運用しておりますが、これらはシステム担当者がサーバーへアクセスし、目視にて点検するということで審査上、問題ないでしょうか?

ログ等を印刷してエビデンスとするのは大変な労力と考えますが、点検簿を作成し、目視にてログ管理を行いチェックマークと点検者のサインで行おうと思っておりますが、問題ないかご教示ください。

ログには、監視することによる「不正抑止」と「事後調査」の役割があります。
よって、事後に何らかのインシデントが発見された際、ログは重要な役割を果たします。

ログの数が多いほど分析できる対象が増えると言われていますが、やみくもに取得してもあまり意味がないため、取得する対象を決め、一定の量が蓄積されたらに古いログから削除していく等の運用を取られるのが良いかと思います。

なお、ログの取り方などは色々な方法があり、セレキュルティレベルの話になりますので、そのようにした理由を審査員に説明ができるのであれば問題は無いかと思います。