2024年度サーベイランス実施結果について
2024年度のサーベイランスは終了し、対象の10サービスには不適合事項はありませんでした。ただし、そのうち5サービスについては、以下に示す改善要求事項が検出され、情報セキュリティサービス基準審査登録委員会より是正勧告が行われました。
サービスを提供する全ての事業者様におかれましては、登録しているサービスにおいて「検出された改善要求事項」と同様の問題がないかを、今一度ご確認いただき、必要に応じて対応をお願いいたします。
【サーベイランス概要】
・対象サービス数 :10サービス
・サーベイランス実施期間:2024年9月~12月
・報告書とりまとめ等 :2025年 1月~ 3月
【検出された改善要求事項】
1)ヒアリングにより、顧客情報保護手続きに関する内部監査を行っていることは確認できたが、内部監査の実施記録は確認できなかった。
2)技術責任者1名以外の教育および研修等の実施または受講の記録がなかった。
3)パンフレットに表示されているSSSマークが、登録サービス以外にも適用されているように見えた。
4)当該サービスを行った案件の担当者以外による監査(内部監査又は外部監査)の実施を確認できなかった。
5)外部委託先がサービス基準に準拠していることの確認を行っていなかった。
6)外部委託先でサービスに従事する者に対して、例示に定める教育および研修等を実施または受講させていることを確認していなかった。
7)サービス仕様が例示以外の基準に準拠しているが、サービス登録申請時と準拠基準が異なっていた。また、準拠基準が申し込み前に顧客に明示されていなかった。
8)案件従事者以外によるレビューは実施されているが、報告書を案件従事者以外がレビューすることが明文化(ルール化)されていなかった。
9)品質管理者が変更されたが変更申請が提出されていなかった。
10)技術責任者がサービスの品質確保のため、実際の案件に関与しているエビデンスが確認できなかった。
11)顧客システムを診断した結果報告書に対して、当該サービス案件に従事した者以外によるレビューが行われていなかった。
以 上