組織的なレコードのユーザ操作の改善
対象となる行動
レコードの作業コピーは安全でない場所に放棄されています。
指導
編集や参照をするためにレコード管理システムから一時的に取得されたファイルは、編集が完了した後、レコード管理システムに正しく返却されなければならず、作業が完了したときにすべての参照コピーを削除する必要があります。
レコードは、ホームドライブ、SharePointサイト、Office365ファイル共有、またはNASストレージに無制限に保存しません。 レコードは、通常指定された記録管理システムにのみ保存します。
必要なポリシー
| 最近7日間の間にアクセスもしくは変更されていない、「顧客番号」、「従業員番号」、「サプライヤ番号」、マイナンバー、クレジットカード番号、および/またはその他の特定のPII / PCIデータを含むファイルについて週に一度スキャンします。 |
| 疑わしいレコードが特定されたときにデータスチュワード/レコードマネージャーに通知します。 |
| データスチュワード/レコードマネージャーがファイルリストをレビューし、適切な処置を実行するよう要求します。 |
機密性の高い求人データを不必要に保持することを避ける
対象となる行動
募集の過程で集められたカバーレターと履歴書は、管理者のホームドライブ内に保持されています。 これらのファイル内の機密データは適切に保護されていません。
指導
職員採用活動中に入手されたカバーレターと履歴書は、その職が満たされた直後に破棄されなければならなりません。 管理者が将来参照するためにこれらの文書を保持したい場合は、専用の場所を提供することができます。
必要なポリシー
| ホームドライブ(O365ファイルストレージを含む)は毎月スキャンされます。 |
| 関連する文字列/パターン(マイナンバー、 “CV”など)を含むファイルが識別されます。 |
| 識別されたファイルの所有者に通知され、問題のファイルを削除するように要求され、組織的な指導をリマインドします。 |
ファイル内のパスワード詳細の保存方法を削除する
対象となる行動
ユーザが、個人用のパスワードと、アプリケーションおよびサービスアカウントのログイン情報をファイル共有に保存しています。
指導
ユーザは、専用システム(KeePass)にすべてのログイン資格情報(個人アカウントのユーザ名とパスワードを含む)を保存する必要があります。 IDやパスワードの情報は暗号化の有無にかかわらず、他の方法でファイルに保存されることはありません。
必要なポリシー
| ファイル共有とO365ファイルストレージは月に1回スキャンされます。 |
| パスワードとユーザIDに関連付けられたテキスト文字列を含むファイルが識別されます。 |
| 識別されたファイルの所有者に通知され、ファイルの内容を確認するように依頼し、組織的な指導を図ります。 |
取り扱い要注意の年次評価データの破壊を確実にする
対象となる行動
給与情報を含む取り扱いに注意が必要な個人データが、年次評価の補足資料として毎年マネージャーに配布されます。 これらのファイルは、年次評価の終了後でも適切に削除されていません。
指導
年次評価プロセスをサポートするために提供される従業員情報は、これらのプロセスの完了後に削除する必要があります。 履歴情報は要望に応じて提供することができるため、管理者が独自に保持する必要はありません。
必要なポリシー
| ホームドライブ(O365ファイルストレージを含む)とCommon Sharesは毎月スキャンされます。 |
| 関連する文字列/パターン(「年次評価」、「給与」および従業員番号など)を含むファイルが識別されます。 |
| 識別されたファイルの所有者に通知され、問題のファイルを削除するように要求し、組織指令の徹底を図ります。 |
