1社では、内部監査は1つ
幸松です。
最近はISOを取得されている会社でも、ISO27001だけを取得している会社だけでなく
ISO27001と何か他のマネジメントシステムを取得しているという会社が多くありますね。
ISO90001、ISO14001、プライバシーマーク(個人的にはプライバシーマークはマネジメントシステムかどうかは微妙に感じますが)等の認証も併せて取得している会社があります。
それぞれのマネジメントシステムで教育や内部監査を行っているのですが
それぞらのマネジメントシステムごとに教育や内部監査を行っている会社が多いです。
現場の社員からすると、年間何回も内部監査を受けるのは負担が高いと思います。
やはり、理想としては出来る範囲からで良いのでマネジメントシステムの統合を行っていき
教育も内部監査もまとめて行うべきですね。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
システム管理者の日
幸松です。
先週の金曜日(7月25日)は、システム管理者の日だったようです。
システム管理者の日とは、「システム管理者の労を労う記念日」とWikipediaに記載されています。
2000年から実施されているようです。
私は今年初めて知りました^^;
Wikipediaの以下の一文がある意味泣けます(苦笑)
残りの364日にはほとんど敬意を払われていないシステム管理者に対し、そのシステムの利用者等がプレゼントを贈るなどして感謝の意を表する日
確かにシステムは「動いて当たり前」と思われてる節もあり、システム管理者が感謝をされるというのはその責任や仕事量を考えると全然少ない気がしますね。
来年からは私もシステム管理者の日にはシステム管理者に感謝の意を表そう(笑)
[参考ページ]
Wikipedia:システム管理者の日
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
COBIT V4.1 日本語版無償ダウンロード開始
幸松です。
今日気付いたのですが、日本ITガバナンス協会のWebサイトからCobit4.1の和文資料が無償でダウンロード出来るようなっています。
今回のCobit4.1の和訳には、NRIセキュアテクノロジーズ株式会社やISACA東京支部の丸山さんらが中心として翻訳作業を行い、今回の配布となっております。
こういった方々の努力により我々はCobit4.1に触れる事ができるのですね。
「感謝」以外には言葉がありませんね。
日本ITガバナンス協会:ダウンロードページ
特に会員登録等をしなくてもダウンロード出来ますので内部統制やIT統制に興味のある方、関係者の方は是非ともダウンロードしてみて下さい。
ちなみにCobitとは、WikiPediaでは以下のように記載されております(2008.6.6現在)。
Control Objectives for Information and related Technology (COBIT) とは、情報システムコントロール協会 (ISACA)とITガバナンス協会 (ITGI)が1992年に作成を開始した情報技術 (IT) 管理についてのベストプラクティス集(フレームワーク)である。COBIT はマネージャ、監査人、ITユーザーに一般に通じる尺度や判断基準、ビジネスプロセスやベストプラクティスを提供して情報技術を利用して得られる利益を最大化するための補助とし、企業内の適切なITガバナンスや内部統制の開発の補助となる。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
海外での情報セキュリティ
幸松です。
今日もタイで仕事しています。
前日のブログでタイに来ていると書いたところ友人からメールで
「何しに行ってるねん?」と突っ込まれてしまいました^^;
仕事です。情報セキュリティ―の仕事です。
以前にお客様の中国支社の情報セキュリティに関する現地調査と、今後の改善についての仕事をさせて頂いたのですが、その結果をお客様に評価して頂き、「では、次回はタイ工場の情報セキュイティ調査と改善案を」と言って頂き、現在タイにいてるというわけです。
商習慣も国民性も違う人々と仕事をしていても管理をしなければいけない情報というのは基本的には同じだと思います。
ただ、何でも日本式の対策では実効性が伴わない場合が多いです。
その国々、現地現地での適切な対応が必要になってくると思います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
内閣府から「個人情報保護の仕組み」
幸松です。
内閣府から過剰反応事例(学校での緊急連絡網等)やよくある質問のQ&Aを含んだ、個人情報保護法に関するパンフレットが配布開始されました。
最近は、一時期ほど聞かなくなりましたが、「過剰反応」というのはやはり良く話題にのぼります。
一部のマスコミ等では「過剰反応してる」→「個人情報保護なんて意味がない」といった論法をしている記事も見受けられますから、個人的には「過剰反応」に対しては「過剰」に反応してしまいます(苦笑)
やはり、その事業者(学校等も含む)にとって適切な対応があると思いますので、よそのところがしているからといって安易に対応方法を決めないことです。
個人情報保護も含めて、情報セキュリティは「どの情報を、どのように管理すべきか?」をしっかりと考えていかなければなりません。
Thinking Securityが大事です。
個人情報の取扱いや、保護する仕組みつくりなどのお問い合わせはお気軽にどうぞ!!
内閣府:個人情報保護のしくみ
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
「IT統制に関する実態調査」等 集計結果発表
幸松です。
JIPDECより、内部統制報告制度に伴うIT統制の状況について、上場企業の情報システム部門および情報サービス事業者に対し、実施した「IT統制に関する実態調査」等4種類のアンケート調査結果が公表されました。
JIPDEC:「IT統制に関する実態調査」等 集計結果発表
その中の「IT統制に関する実態調査」では、企業の情報システム部が内部統制の取組みの中での問題点や良かったことなどを回答しています。
アンケート結果を見るとやはり内部統制のための文書化作業が負担になっている企業が多いようです。新たに導入したツールも「文書化支援ツール」の割合が一番多いようです。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
経産省の個人情報保護法についてのガイドライン確定
幸松です。
経産省の個人情報保護ガイドラインが改定されました。
経済産業省:個人情報保護に関する法律についての経済産業分野を対象とするガイドライン
今回の改定では、主に委託先に関する監督強化や委託時の個人情報の提供について規定されています。
私もまだ詳細はしっかり見ておりませんが、現在プライバシーマーク取得活動中の企業様は必ず確認しておくべきですね。また、JIS Q15001の「3.3.2 法令、国が定める指針その他の規範」の項で求められる法令等の一覧表の更新も忘れずにしておいて下さい。
極端な例ですが、プライバシーマークの申請から実際の審査までの間にガイドラインが改定されたのですが、法令等の一覧表の更新をしておらず(その企業では法令チェックの時期ではなかったので)審査員から法令チェックの間隔が短すぎると指摘を受けたこともありますので。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
プライバシーマークの審査について
幸松です。
今日は、プライバシーマークの審査員について物申します。
プライバシーマークの取得支援コンサルタントをしていると非常に難しい問題が「審査対応」と言われる、プライバシーマークの審査員の指摘事項への対応です。
これが、本当に大変です。
誤解を与えてしまう可能性もあるかも分からないのですが、「審査対応」というより「審査員対応」です。
人(審査員)によって指摘する内容がバラバラです。
プライバシーマークを取得されている企業の担当者の方や、同業のコンサルタントの方とお話していると必ずと言って良いほど審査員の話が出てきます。
プライバシーマークの審査員の一部の方は、「?」と思う指摘を良くしてきます。
弊社のお客様の例ですと、
①審査を受ける
②審査の指摘事項が届
③指摘事項に対する改善報告を提出
④改善報告に対する結果(要は「まだ、この部分は完全ではないですよ」という指摘)が届く
上記の基本的なパターンなんですが、おかしいのは④の段階で「新しく」指摘事項が追加されてしまいました。
なぜ審査の時に指摘できなくて、後になってから追加???
審査はサンプリングであり完全を期するものでない性質であり、後から気付く場合もあるかも分かりませんが、せめて注意事項として言ってくれるのであれば納得できますが、正式な「不適合指摘」として改善を要求されるのは納得できません。
審査員は「審査の場で」発見した事実に関してのみ指摘するのが正しいはずです。審査が終わって、更に言うなら指摘事項への対応が終わった段階で「追加で指摘」するのはおかしいと思います。
あるお客様が仰っておられましたが、「審査員にめちゃくちゃにされる」と言うのが非常に納得できます。
私はプライバシーマーク制度自体は良い制度だと思います。ただ、体制(特に審査体制)については疑問に思う所が多々あります。
世の中の企業の個人情報の取扱いのセキュリティレベルを上げていくことが目的なのですが、今のままですと単なる「許認可」制度になってしまいます(一部では、既に許認可だよと仰ってる方もおられます)。
プライバシーマークは事業活動をより円滑に行っていくために取得するものです。
より良い体制になってくれることを願います。
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから
「個人情報の保護に関する基本方針」の一部改正案
こんにちは。幸松です。
内閣府から、「個人情報の保護に関する基本方針」の一部改正案の関するパブリックコメントの募集が開始されたようです。
内閣府:「個人情報の保護に関する基本方針」の一部改正案に関する意見の募集について
「個人情報の保護に関する基本方針」とは、個人情報保護法の第7条の規定に基づき策定された、地方公共団体、企業等が個人情報保護の施策を講じていくにあたったての取組みの方向性を示すものです。
今回、その「個人情報の保護に関する基本方針」についての一部改正案を募集するようです。
事業者が行う処置の対外的明確化がより強く求められています。
・委託を受けた際の個人情報の取得方法を具体的に明記すること。
・委託をする際の処理の透明化を進めること。
・個人情報の利用目的を顧客の種類ごとに利用目的等を限定して示すこと。
等を考慮した、「個人情報の保護に関する基本方針」を作成することが記載されています。
中には、この「基本方針」は他社のコピーであったり、ホームページ制作会社に丸投げで作成している会社もあると思います。
そういった企業様は、この改定を機に一度しっかりと「自社にあった個人情報の基本方針」を作成してみてはどうでしょうか?
関連する投稿
プライバシーマーク取得についての
お問い合わせ・無料お見積りはこちらから