ISMSの「重要資産持出し管理」の中で、特にノートPCについて教えて下さい。
弊社では、役員が日比谷に常駐しております。
役員は、たまに本社に来られる程度です。
持ち出し記録を付けると長期持出しなります。
日比谷を本拠地としているため、持出しとしない(記録しない)運用方法は問題がありますか?
また、記録が必要な場合、1ヶ月持出し、月1回記入程度でも良いでしょうか?
なお、PCを常時携帯し、頻繁に自宅に持ち帰っています。
ご質問にある御社の状況を審査員に話した場合、審査員は日比谷も適用範囲と判断し、本社と同等な個人情報保護対策を求められる可能性が大きいです。
このような管理体制を望まないのであれば、持出しとしない(記録しない)運用方法は、避けた方が良いかと思います。
持ち出しの記録についてですが、JISQ15001及び個人情報保護法では、記録の記述についての間隔は要求されておらす、個人情報保護に対しての抽象的な安全管理措置が求められているだけです。
一般的に考えて常識の範囲内であれば問題は無いかと思います。
私としては、月1回の記入でも問題は無いかと考えます。
ただし、「重要資産持出し管理」の運用目的は、以下の事項を考慮して、”記入する間隔”及び”運用方法”を社内でも検討してみて下さい。
(1) 上司の許可を得、ルールに則って個人情報の持ち出しを行う。(※無許可での持出しは厳禁)
(2) 持出された個人情報の所在確認が常に可能で個人情報の所在を把握している。(※個人情報が管理されていない状態はダメ)
(3) 漏洩事件などが、発生した場合、トレーサビリティ(過去の追跡)が可能で監査証跡として記録が明示・提示できる。(※分からないは許されない)
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
