購入手順を定めていますか?【Pマーク取得の基礎知識】
会社として購入する物品の中にはセキュリティや個人情報保護に直接的あるいは間接的に関係するものも多くあります。
業務で使用するパソコンはもちろん、パソコンの周辺機器、ネットワーク機器、モバイル機器などのハードウェア類があります。有料のソフトウェアも含まれます。ハードウェアやソフトウェアの他にも、情報資産を保管するためのキャビネットや施錠設備などがあります。
セキュリティ関連の物品を購入する際の手順を定めることも個人情報保護の観点は非常に有効なことです。
購入のための手順を定めることがプライバシーマーク(Pマーク)の規定の中で明確に要求されているわけではないのですが、それでもプライバシーマーク(Pマーク)取得会社が会社としてそれを規定しておくのは望ましいことといえます。
具体的にはどのようなことをルールに含めることができるのでしょうか。ISO系のマネジメントシステムの要求事項を参考にして考えてみましょう。
信頼できるベンダーを選定しておく
ベンダーとは業者のことですが、安心して使用できる機器を購入する一つ目のポイントは常に信頼できるベンダーに発注することです。
安価な製品であってもセキュリティ性能が十分に保証されていなければ、それを利用することがセキュリティ上の問題の発生にもつながりかねません。
そこでプライバシーマーク(Pマーク)取得会社としては、自社が利用できるベンダーを一定の評価基準のもと選定し、各発注担当者に周知し、定期的に評価を更新しておくことが重要といえるでしょう。
購入の際の承認経路を定めておく
何かを購入する際は、発注担当者が自分だけの判断で発注するのではなく、必ず社内の責任者の承認を得たうえで発注書を出すようにするのが良いでしょう。
購入しようとしているものの必要性や金額の妥当性を判断するためには部門長の承認が必要でしょう。金額によっては部門長のさらに上の責任者の承認まで必要というルールにするのが適切かもしれません。
また購入しようとしているもののセキュリティ性能を評価するためには社内のシステム管理者などの承認が必要でしょう。
納品時には受け入れ検査を行う
安全な機器を導入するには、購入した製品に問題がないかを納品時に検査することが必要です。
受け入れ検査を行った後で使用を開始するようにすること、またもしも不適合な納品物があった場合にどのように製品の回収・再発注を行うかなどをルールとして定めておくことができます。
まとめ
以上、3つほど購入に関係する社内ルール策定のポイントをご紹介しました。
個人情報保護のレベルは物理的な要因や技術的な要因によっても左右されます。特に社内で使用する機器や備品などのセキュリティ性能や安全性は直接情報保護のレベルにかかわってきますし、そのレベルによって大幅に情報漏えいやその他のトラブルを減らすことも可能です。
プライバシーマーク(Pマーク)を取得している会社としてさらにレベルアップするためにも自社の購入手順を定めてみるのはいかがでしょうか。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
