プライバシーマークの準拠規格であるJIS Q 15001の各要求事項について解説していきます。今回は「3.3.7 緊急事態への準備」です。
事業者は,個人情報が漏えい,滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜,本人への影響などのおそれを考慮し,その影響を最小限とするための手順を確立し,かつ,維持しなければならない。
また,個人情報の漏えい,滅失又はき損が発生した場合に備え,次の事項を含む対応手順を確立し,かつ,維持しなければならない。
a) 当該漏えい,滅失又はき損が発生した個人情報の内容を本人に速やかに通知し,又は本人が容易に知り得る状態に置くこと。
b) 二次被害の防止,類似事案の発生回避などの観点から,可能な限り事実関係,発生原因及び対応策を,遅滞なく公表すること。
c) 事実関係,発生原因及び対応策を関係機関に直ちに報告すること。
Pマーク審査に合格するための対応
「緊急連絡先」の一覧を作成します。社内の連絡先としては個人情報保護管理者、システム管理者、代表者の3名が入っていれば問題ないでしょう。
社外の連絡先については、JIPDEC、審査機関、監督官庁(経産省等)が記載されていれば問題ないです。
万が一事故が起きた場合の報告様式についてもPMSの要素とする必要があります。これについては、JIPDECのウェブサイトに掲載されているフォーマットをそのまま使用すると良いです。
この要求事項は本当に重要なのですが、審査員はその程度しか見てきません。というより見る力がないのです。
実効性を考えた場合の対応
ISMSをベースにしつつ、CSIRT構築をイメージすると良いと思います。
まずはレポートラインを作る。その上で、レポートラインの結節点で事象の切り分け(トリアージュ)をおこなう体制を敷く。
例えば、事象、インシデント、重大インシデントのように3つにレベル分けする基準を作った上で、どこまで報告を上げるのか、誰が意思決定をするのか、専門機関に支援を仰ぐ必要があるのか、事実を公表する必要があるのか、など対応についてのレベル分けを予め決めておきます。
まずは外部の専門家にすぐに相談できる体制を持つことが最も重要です。全体設計をおこなうコンサルタント、原因究明をおこなうフォレンジック業者、マルウェア解析の専門家、外部CSIRT、リスクコミュニケーションの専門家など。また、監督官庁に対してもパイプを持っておくと対応がスムーズに進むことがあります。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ