ソフトメーカーから利用PCのログイン名やIPが見える仕組みの場合における対応について
委託先管理についてですが(JIPDECも実施審査では質問しませんでした)、ウィルス対策ソフトやログアクセス監視ソフトでは、従業者利用PCのログイン名やIPが管理者が見える仕組みとなっています。
規定には従業者に対して上記の利用による個人情報の収集は明記していますが、利用契約しているウィルス対策ソフトやログアクセス監視ソフトのメーカーはどうなるのでしょうか?
ご質問の件、「利用契約しているウィルス対策ソフトやログアクセス監視ソフトのメーカー」も「利用PCのログイン名やIPが見える仕組み」となっている場合という解釈で、お答えさせていただきます。
まず、これに関して当店の提携のコンサルタントに確認したところ、『今までコンサルティングを行った顧客でも「A.3.4.3.4委託先の監督」として”ウィルス対策ソフトやログアクセス監視ソフトのメーカー”について審査員から質問されたことはない』とのことです。
審査員によっては質問される可能性も絶対ないとは言えないため、ご心配であれば「A.3.4.3.4委託先の監督」に準拠し管理されても良いかとのことですが、実際「A.3.4.3.4委託先の監督」が該当するか否かは判断が難しいとのことでした。
最終的には、審査員の判断に左右される可能性もあるとのことです。
メーカーにもよると思いますが、メーカーへの情報提供は利用者の任意で、機能を無効にすることもできる場合もあるかと思います。
この点も、利用者とメーカーの同意(契約事項)などで、その辺りを確認してみる必要があるかと思います。
参考までに、某ソフトでは、ユーザーのインターネットの閲覧内容や時間、利用するアプリや利用時間、位置情報や購入履歴などを取得して、その他の個人情報と結びつけてマーケティングに利用する旨が書かれている場合もあったり、設定で「端末環境情報」をOFFにできたり、「この情報は、このようにセキュリティ上必要になるので利用します。この情報は保存しません。」との記載があったりと様々なようです。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
