情報セキュリティを適切に維持・管理していくためには、国や業界団体などが発行している法律やガイドラインを確認しておく必要があります。ここでは、そのような法規制の管理を実施する方法について説明します。
この記事では、以下のトピックスについて説明しています。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
附属書A 18.1.1
法規制管理の意義
例えば、情報セキュリティに関連性が高い法律の1つとして「個人情報保護法」があります。この個人情報保護法が改定されたときに、その内容を把握しておかないと、自組織のセキュリティ体制をアップデートできなかったり、最悪の場合法令違反につながってしまう可能性もあります。そのような事態が発生しないように、最新の法規制に関する情報を確認できるようにしておきましょう。
法規制管理を行う方法
上述の目的を達成するため、自社の業務に関連する法規制は、特定し、管理する必要があります。
大きく下記2通りの方法があります。
あらかじめ登録されている法規制を選択する(Managed)
SecureNaviには、あらかじめ一般的な法規制が登録されています。その法規制から、自組織に関連する法規制を選択し、登録する事ができます。
この方法によって追加された法規制は、SecureNavi内で管理されているため、仮に法規制に改定があった場合、自動的に改定状況が更新されます。
これらのあらかじめ登録されている法令には、以下のように、Managedラベルが付きます。
新しい法規制を登録する
SecureNaviに登録されていない法規制を、新しく登録する方法です。
業界固有の法規制(例えば、医療業界や金融業界などは、独自のガイドラインがあります)がある場合は、この方法で登録してください。
この方法によって追加された法規制は、仮に改定があったとしても、改定状況は自動更新されません。定期的に改定状況を確認し、改定があった場合は、セルフサービスで情報を追加するようにしてください。