個情委、メタップスPに行政指導 - 情報資産を把握せず、内部監査規程も形骸化

個人データの取り扱いにあたり、監査や点検が一部未実施で、重要性に見合った取り扱いが行われていなかった。

さらに内部監査規程は整備されていたものの形骸化。監査の実行にあたり適切な人員を配置せず、技術的安全管理措置を含めて情報セキュリティに対する内部監査が機能していなかったという。

また不正侵入を検知した際のアラートを十分検証していないなど、技術的安全管理措置における対策の不備も見られた。

こうした状況を踏まえ、個情委では組織面、技術面両面から対策を講じるようメタップスペイメントに対して指導。具体的には、組織的安全管理措置として、経営層や従業員が取り扱う個人データの範囲を把握、定期的に個人データの棚卸しを実施し、監査や点検を実施するよう求めた。

技術的安全管理措置を含めて情報セキュリティに対する内部監査において、経営層が能動的に関与し、内部監査機能の強化を図ることとし、策定した技術的安全管理措置における再発防止策を確実に実行することを求めている。

（Security NEXT - 2022/07/13 ） ツイート

PR

関連記事

海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
個人情報含む契約書類を誤送信、アドレス帳で選択ミス - 新潟県
生徒情報含むデータを第三者メアドへ誤送信 - 鹿児島高
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ