5カテゴリーについて
セキュリティ(Security)
組織は、情報やそれを格納するシステムを保護するために、不正アクセスや情報漏洩を防ぐ適切なセキュリティ対策を実施する必要があります。 具体的には、認証・認可によるアクセス制御の実装、保存・転送するデータの暗号化、物理アクセスの制御、ネットワークセキュリティの実装などが求められます。
可用性(Availability)
組織は、顧客に提供する製品・サービスが合意した通りに操作・使用できるよう、運用・モニタリングのための対策を実施する必要があります。 具体的には、システムの冗長性の確保、システムの監視とアラート、データバックアップの実施、災害復旧プランの策定・実施、サービスレベルアグリーメント(SLA)の設定などが求められます。
処理のインテグリティ(Processing Integrity)
組織が行うシステム処理は、完全で正当、正確かつ適時に実施され、かつ承認されている必要があります。 そのために、データの検証や整合性チェック、データの改ざん防止対策、データの履歴とトレーサビリティの確保、データ処理の監視とエラーハンドリングなどを実装する必要があります。
機密保持(Confidentiality)
組織は、営業秘密や知的財産などの情報を収集・生成から廃棄まで保護する必要があります。 そのために、適切なアクセス制御の実装、データの分類とラベリング、データ転送時の保護、安全なデータの破棄、データアクセスのモニタリングなどの対策を実施する必要があります。
プライバシー(Privacy)
組織が扱う個人情報が、適切に収集、利用、保持、開示および廃棄される必要があります。 そのために、プライバシーポリシーの策定と公開、個人情報を収集する際の同意の取得、適切な範囲での情報の共有と第三者提供、権利に基づく削除要求への対応などの対策を実施し、個人情報の保護に努める必要があります。