個情委、メタップスPに行政指導 - 情報資産を把握せず、内部監査規程も形骸化
個人データの取り扱いにあたり、監査や点検が一部未実施で、重要性に見合った取り扱いが行われていなかった。
さらに内部監査規程は整備されていたものの形骸化。監査の実行にあたり適切な人員を配置せず、技術的安全管理措置を含めて情報セキュリティに対する内部監査が機能していなかったという。
また不正侵入を検知した際のアラートを十分検証していないなど、技術的安全管理措置における対策の不備も見られた。
こうした状況を踏まえ、個情委では組織面、技術面両面から対策を講じるようメタップスペイメントに対して指導。具体的には、組織的安全管理措置として、経営層や従業員が取り扱う個人データの範囲を把握、定期的に個人データの棚卸しを実施し、監査や点検を実施するよう求めた。
技術的安全管理措置を含めて情報セキュリティに対する内部監査において、経営層が能動的に関与し、内部監査機能の強化を図ることとし、策定した技術的安全管理措置における再発防止策を確実に実行することを求めている。
(Security NEXT - 2022/07/13 )
ツイート
関連リンク
PR
関連記事
除草工事委託先への安全講習会案内メールで誤送信 - 茨城県
ITインフラ監視ツール「Pandora FMS」に脆弱性 - アップデートで修正
「Active! mail 6」に「XSS」や「CSRF」脆弱性 - 修正版へ更新を
若年層向けアジアCTF大会「ACSC 2025」が8月開催 - 世界大会は東京
ランサム被害でデータ暗号化、原因など調査 - 新興プラスチックス
ポケモングッズ通販サイトにPWリスト攻撃 - 一部で会員情報改ざんも
「PHP」に複数脆弱性 - セキュリティリリースが公開
ブラウザ「Chrome」の「Cookie暗号化保護」を破壊する「C4攻撃」
大音量で煽る「サポート詐欺」の被害、端末内部に学生情報 - 名大
メール送信した資料に物件オーナーの個人情報 - 長谷工ライブネット