fbpx

情報セキュリティにまつわる
お役立ち情報を発信

購入手順を定めていますか?【Pマーク取得の基礎知識】

 

会社として購入する物品の中にはセキュリティや個人情報保護に直接的あるいは間接的に関係するものも多くあります。

業務で使用するパソコンはもちろん、パソコンの周辺機器、ネットワーク機器、モバイル機器などのハードウェア類があります。有料のソフトウェアも含まれます。ハードウェアやソフトウェアの他にも、情報資産を保管するためのキャビネットや施錠設備などがあります。

セキュリティ関連の物品を購入する際の手順を定めることも個人情報保護の観点は非常に有効なことです。

購入のための手順を定めることがプライバシーマーク(Pマーク)の規定の中で明確に要求されているわけではないのですが、それでもプライバシーマーク(Pマーク)取得会社が会社としてそれを規定しておくのは望ましいことといえます。

具体的にはどのようなことをルールに含めることができるのでしょうか。ISO系のマネジメントシステムの要求事項を参考にして考えてみましょう。

 

信頼できるベンダーを選定しておく

ベンダーとは業者のことですが、安心して使用できる機器を購入する一つ目のポイントは常に信頼できるベンダーに発注することです。

安価な製品であってもセキュリティ性能が十分に保証されていなければ、それを利用することがセキュリティ上の問題の発生にもつながりかねません。

そこでプライバシーマーク(Pマーク)取得会社としては、自社が利用できるベンダーを一定の評価基準のもと選定し、各発注担当者に周知し、定期的に評価を更新しておくことが重要といえるでしょう。

 

購入の際の承認経路を定めておく

何かを購入する際は、発注担当者が自分だけの判断で発注するのではなく、必ず社内の責任者の承認を得たうえで発注書を出すようにするのが良いでしょう。

購入しようとしているものの必要性や金額の妥当性を判断するためには部門長の承認が必要でしょう。金額によっては部門長のさらに上の責任者の承認まで必要というルールにするのが適切かもしれません。

また購入しようとしているもののセキュリティ性能を評価するためには社内のシステム管理者などの承認が必要でしょう。

 

納品時には受け入れ検査を行う

安全な機器を導入するには、購入した製品に問題がないかを納品時に検査することが必要です。

受け入れ検査を行った後で使用を開始するようにすること、またもしも不適合な納品物があった場合にどのように製品の回収・再発注を行うかなどをルールとして定めておくことができます。

まとめ

以上、3つほど購入に関係する社内ルール策定のポイントをご紹介しました。

個人情報保護のレベルは物理的な要因や技術的な要因によっても左右されます。特に社内で使用する機器や備品などのセキュリティ性能や安全性は直接情報保護のレベルにかかわってきますし、そのレベルによって大幅に情報漏えいやその他のトラブルを減らすことも可能です。

プライバシーマーク(Pマーク)を取得している会社としてさらにレベルアップするためにも自社の購入手順を定めてみるのはいかがでしょうか。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る