ミッション：プライバシーマークを更新せよ

2023, Dec 24    

世間はクリスマスだというのにセキュリティブログ記事を書いている僕です（😢） 今年最後の記事は、僕がこの1年取り組んでいたプライバシーマーク更新の業務について、どういう作業なのかを記していきます。

サムネイルにも使っているよく見るマークですが、これが何を意味するかというと、この企業は個人情報の取り扱いをしっかりしており、その社内体制や情報の管理の仕方、個人情報漏洩を防ぐための体制が整っていますよ、という第三者認証制度になります。 2年に1度Pマークは更新する必要があり、個人情報管理がちゃんと行われているか、年間のスケジュールに個人情報保護のための計画が準備されているかがチェックされます。

プライバシーマークのポイントは２つあります。１つは「個人情報」の保護に特化しており、ISMS（ISO 27001)のような会社の情報セキュリティ全般をカバーしているわけではないということ。そのためISMSはPマーク取得の知見が流用でき、ISO-27001を取得するならばPマークは更新不要という考えもありです。いっぽうでPマークは「こうしなければならない」というルールが認証機関により決められており、それに従わなければ取得できないのに対し、ISMSは「これをどうするか」という問いに対しての「会社が決めたルール」をレビューし、それを基に取得します。その観点ではPマークはゼロから会社に情報セキュリティを導入する際に利用し、慣れてきたらISMSへレベルアップ、という考えも良いでしょう。

過去僕が勤める会社のPマークは総務が更新作業を行っていました。しかし個人情報はバックオフィスよりもシステム開発部門のほうが多く保持するため、自分が会社の”セキュリティ担当”を拝命したこともあり、様々な業務を担当する傍らPマークの更新業務に取り掛かりました。総務の人は優秀な人で、これまでも何回か更新業務を行ってきたのに対して、自分ははじめての更新業務ということもあり分からないことも多々あったのですが、総務の人の協力もあり、なんとか更新までたどり着くことができました。

Pマークの取得・更新ですが、独力で作業するのは非常に困難です。多くの資料を作成しなければならないのはもちろん、認証機関の求めるルールも定期的に更新されており、それらを踏まえたうえで資料を提出する必要があります。僕もコンサルティング会社（コンサル）の支援の基、更新作業も実施しました。別にやましいことはないです。審査の際に監査員も「コンサルはこの辺りをどう言っていましたか」と質問されたりしたので、コンサルを利用しているのは周知の事実なのでしょう。 ベンチャーのように会社の規模が小さく、セキュリティの専門の部署ではなく、他の仕事を持ちつつプライバシーマークを更新しようとするのであれば、コンサルのサポートは必須と思います。僕も当初はもっと多くの範囲を自分で対応したいと考えていましたが、期限が近づくにつれて、仕事に注力せざるを得なくなり、コンサルへの依存度は増えていきました。

必要な資料の種類や、どういう風に記述すればよいかはコンサルが力を貸してくれます。しかし会社としてどんか個人情報を保有しているのか、それはドキュメントに記載された方法できちんと管理されているのかを調べ、現場に改善を指示し、実際の改善まで導くのはセキュリティ担当の役割です。なので僕のやったことは

• 管理台帳やログの記録のありかを確認し、抜け漏れがないかを各事業部の担当に確認、最新にメンテナンスする
• ドキュメントに記載された通りのセキュリティ対応が行われているかをヒアリングして、出来ていないものに関しては改善指示する
  • 彼らは僕以上にセキュリティの素人なので、指示だけでは動けないため、自分のほうで巻き取って対応を進めたりしました。
• 監査員に資料を提出し、会社のセキュリティ体制や個人情報をどのように管理しているかを質問に回答する

感想として、総務から引き継いだＰマーク関連の資料は、セキュリティの専門家の僕からすれば、かなり物足りない内容でした。セキュリティの観点から、もっと詰めなければならないこと、やらなければならないことをたくさん見つけたからです。つまりＰマークは最低限抑えるところを抑えられれば、そこまで注力しなくても取得・更新できる制度なのでしょう、しかし「資格を取るために資格を取る」ことはもったいない話。せっかく個人情報を保護するためのいろいろなルールを自分でゼロから作らなくても、認定組織が用意してくれているのですから、それに乗っからない手はないというものです。堂々と活用して社内のセキュリティを強化しないと。

このセキュリティブログは2022年12月にオープンしたので、オープンしてから1年が経過しました。セキュリティに関する資格、本のレビュー、ニュースの紹介などを続けてきました。何かを始めること、続けること、ちゃんと終わらせることは難しいよな、と創作の分野を見ていると思うのですが、自分にも言えました。このブログも秋ごろから更新ペースがだいぶ落ちました。仕事が忙しいカラーと仕事のせいにしてはいけませんね、ソシャゲをやる時間はあるのですから😅 来年もAWS Security専門知識の試験やブックレビューなどを公開します。セキュリティという年々重要性が増す分野に係る身として、研鑽を怠らないようにします。