ISMSの「重要資産持出し管理」の中で、特にノートPCについて教えて下さい。
弊社では、役員が日比谷に常駐しております。
役員は、たまに本社に来られる程度です。
持ち出し記録を付けると長期持出しなります。
日比谷を本拠地としているため、持出しとしない(記録しない)運用方法は問題がありますか?
また、記録が必要な場合、1ヶ月持出し、月1回記入程度でも良いでしょうか?
なお、PCを常時携帯し、頻繁に自宅に持ち帰っています。
ご質問にある御社の状況を審査員に話した場合、審査員は日比谷も適用範囲と判断し、本社と同等な個人情報保護対策を求められる可能性が大きいです。
このような管理体制を望まないのであれば、持出しとしない(記録しない)運用方法は、避けた方が良いかと思います。
持ち出しの記録についてですが、JISQ15001及び個人情報保護法では、記録の記述についての間隔は要求されておらす、個人情報保護に対しての抽象的な安全管理措置が求められているだけです。
一般的に考えて常識の範囲内であれば問題は無いかと思います。
私としては、月1回の記入でも問題は無いかと考えます。
ただし、「重要資産持出し管理」の運用目的は、以下の事項を考慮して、”記入する間隔”及び”運用方法”を社内でも検討してみて下さい。
(1) 上司の許可を得、ルールに則って個人情報の持ち出しを行う。(※無許可での持出しは厳禁)
(2) 持出された個人情報の所在確認が常に可能で個人情報の所在を把握している。(※個人情報が管理されていない状態はダメ)
(3) 漏洩事件などが、発生した場合、トレーサビリティ(過去の追跡)が可能で監査証跡として記録が明示・提示できる。(※分からないは許されない)
