ここでいう「クロック」とは、コンピュータ内の時刻のことです。プライバシーマーク(Pマーク)を取得・更新している会社は、個人情報保護を確実にし、不正侵入などの万一のトラブルに備えるために情報システムのログを取っておく必要がありますが、ログが信頼できるものであるためにはクロックを常に正確な時刻に合わせておかなければなりません。
クロックの同期に関する要求事項
プライバシーマーク(Pマーク)の規格である2017年版のJIS Q 15001には管理策という附属書が付くようになりました。この管理策に個人情報保護にかかわる具体的な対策にかかわる指針がまとめられています。
その中には個人情報にかかわるイベントを記録して監視するために作業ログを取得することが要求事項として記載されているわけですが、それを具体化した管理策としてクロックを同期させることが要求されています。
せっかくプライバシーマーク(Pマーク)の取り組みとして作業ログを取得していても時刻が正確でなければそれは証拠としての意味を持たなくなってしまいます。
コンピュータ内のクロックを正しく設定することは調査や法令または懲戒などに関係してログを確認する際にどうしても必要なことなのです。
単一の時刻源と同期させることがポイント
どうすればクロックの正確性を保持できるかという点でポイントとなるのは、社内のすべてのコンピュータシステムを可能な限り単一の参照時刻源と同期させることです。
各ハードウェアにもクロックが内蔵されており、電源が遮断されているときも時刻を刻み続けていますが、どうしても時刻の狂いが生じてしまうという欠点があります。
一方、単一の時刻源と同期させれば、参照時刻源の時刻の正確性を保つことに対策を集中させ、あとはすべてのシステムをその時刻と同期させることでログの正確性を維持することができます。
Network Time Protocolについて
クロックの同期に関連してNTPについても説明しておきたいと思います。「NTP(Network Time Protocol)」とはネットワーク上で時刻の同期を行うプロトコルのことです。
このプロトコルによりネットワーク上にあるそれぞれのコンピュータは定期的に時刻を合わせることができます。NTPを実際にサーバに実装することもできます。NTPを実装したサーバには「ntpd」などがあります。
ちなみに日本国内にも主だったNTPサーバがありますが、その中にはアクセス負荷が高いものなどもありますので、参考までに知っておくとよいでしょう。
実際にクロックサーバを導入し、接続されているパソコンや通信機器をそれに同期させる形で合わせているというプライバシーマーク(Pマーク)取得会社もあります。
標準でNTPサーバを付属させているOSもありますので、プライバシーマーク(Pマーク)取得会社としては導入を検討したいところです。
まとめ
今回の記事では正確な作業ログを保持するための要求事項としてクロックの同期について考えました。
個人情報保護マネジメントシステムにおいては記録を正確に保持することが重要とされていますし、内部監査や外部による取得・更新審査においても重要となります。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人

-
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店
【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで
最新の投稿
個人情報漏洩&セキュリティートラブル2019.11.14リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
個人情報漏洩&セキュリティートラブル2019.09.05リクナビ問題とは。利用規約を読まない、個人属性以外は個人情報ではないなど穴だらけ?
西山2018.02.16【Pマーク改正関連】 コミットメントを実証していますか?
西山2018.02.15クロックを同期させる【Pマーク取得の基礎知識】