情報セキュリティ管理策:記録保持、プライバシー保護及びレビューに関する規定
令和7年8月29日|p.123
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
4
5g-5.33.5記録類は、記録の種類によって、また、それぞれの種類を更に詳細
に、保持期間、及び許容される物理的又は電子的な記憶媒体の種類
によって分類する。
g-5.33.6溝たすべき要求に応じて、許容される時間枠内及び書式で、要求さ
れた記録を取り出すことができるような、データ保存システムを選
択する。
5g-5.33.7電子記憶媒体を選択する場合は、将来の技術変化によって読出しが
できなくなることを防ぐために、保持期間を通じて記録にアクセス
できること を確実にする手順
を確立する。
(合961 ( (
5g-5.33.8記録を保持している期間中、記録の復号を可能にするために、暗号
化したアーカイブ又はディジタル署名に用いた暗号鍵及び暗号プロ
グラムも保持する。
5g-5.33.9記憶媒体の保存及び取扱いの手順は、記憶媒体の製造業者が示す推
奨の仕様に従って実施する.
5g-5.33.10記録の保存に用いる媒体が劣化する可能性を考慮する。
5g-5.34プライバシー及びPIIの保護
管理策:組織は、適用される法令、規制及び契約上の要求事項に従って、プライバシー及びP
の保護に関する要求事項を特定し、満たす。
目的:PIIの保護の情報セキュリティの側面に関連する法令、規制及び契約上の要求事項
の順守を確実にするため。
詳細管理策
ig-5.34.1組織は、プライバシー及びPIIの保護に関するトピック固有の方
針を確立し、全ての関連する利害関係者に伝達する。
5g-5.34.2
組織は、プライバシー及びPIの保護のための手順を策定し、実
施する。
5g-5.34.3組織は、プライバシー及びPIIの保護のために策定した手順を、
PIの処理に関わる全ての利害関係者に伝達する。
5g-5.34.4組織は、プライバシー及びPIの保護のために策定した手順の順
守、並びにプライバシー及びPIIの保護に関する全ての法令及び
規制の順守のために、適切な役割、責任及び管理策を整備する。
5g-5.34.5プライバシー及びPIIの保護に関する責任者は、要員、サービス
提供者及びその他の利害関係者に対して、それぞれの責任及び従う
ことが望ましい特定の手順について、手引を提供する。
(5g-5.34.5参考)多くの場合、例えば、ブライバシー担当役員のような一人の責任者
を任命することによって最も達成される。
g-5.34.6PIの取扱いについての責任は、関連する法令及び規制を考慮に
日曜
入れて処置する。
々-5.34.7PIIを保護するための適切な技術的及び組織的対策を実施する。
5g-5.35情報セキュリティの独立したレビュー
管理策:人、プロセス及び技術を含む、情報セキュリティ及びその実施の管理に対する組織の
取組について、あらかじめ定めた間隔で、又は重大な変化が生じた場合に、独立した
レビューを実施する。
目的:組織における情報セキュリティ管理の取組の、継続的な適切性、一分性及び有効性を
28
確実にするため。
詳細管理策
5g-5.35.1組織は、情報セキュリティの独立したレビューを実施するためのプ
ロセスをもつ。
5g-5.35.2
管理層は、情報セキュリティの定期的な独立したレビューを計画し、
発議する。
5g-5.35.3情報セキュリティの独立したレビューは、情報セキュリティ方針.
トピック固有の方針、及びその他の管理策を含む、情報セキュリティ
の取組の改善の機会及び変更の必要性の評価を含む.
情報セキュリティの独立したレビューは、レビューの対象となる領
域から独立した個人・組織が実施する。
5g-5.35.5
'5情報セキュリティの独立したレピューを実施する個人・組織は、適
切な力量をもつ。
5g-5.35.6
5.35.6情報セキュリティの独立したレビューを実施する個人は、評価を行
う上で独立性をもつことを確実にするため、権限をもつ系統に属さ
ない。
g-5.35.7情報セキュリティの独立したレビューの結果は、レビューを発議し
た管理層、及び、適切な場合には、トップマネジメントに報告する。
5g-5.35.8情報セキュリティの独立したレビューの記録は、維持する。
5g-5.35.9情報セキュリティの独立したレビューにおいて、情報セキュリティ
マネジメントに対する組織の取組及び実施が十分でないことが明確
になった場合には、管理層は是正処置を発議する。
5g-5.35.10 組織は次
の場合にも、独立したレビューの実施を検討する。
a)組織に影響する法令及び規制が変わる。
b)重大なインシデントが生じる。
c)組織が新しい事業を開始する、又は現在の事業を変更する。
d)組織が新しい製品若しくはサービスの利用を開始する、又は
現在の製品若しくはサービスの利用を変更する。
e)組織が情報セキュリティの管理策及び手順を大幅に変更する。
5g-5.36情報セキュリティのための方針群、規則及び標準の順守
管理策:組織の情報セキュリティ方針、トピック固有の方針、規則及び標準を順守しているこ
とを定期的にレビューする。
目的:情報セキュリティを、組織の情報セキュリティ方針、トピック固有の方針、規則及び
標準に従って実施し、運用することを確実にするため。
詳細管理策
5g-5.36.1管理者及びサービス、製品又は情報の管理責任者は、情報セキュリ
ティ方針、トピック固有の方針、規則、標準及びその他適用される
規制で定められた情報セキュリティ要求事項が満たされていること
をレビューする方法を特定する。
5α-5.36.2定めに従って効率的に情報セキュリティのレビューを行うため、自
動的な測定ツール及び報告ツールの使用を考慮する。
5g-5.36.3情報セキュリティのレビューの結果、何らかの不順守を検出した場
合、管理者は、次の事項を行う。
a)不順守の原因を特定する。
b)順守を達成するための是正処置の必要性を評価する。
c)適切な是正処置を実施する。
d)是正処置の有効性を検証し、不備又は弱点を特定するために、
講じた是正処置をレビューする。