本ポリシーは、 組織環境において 合法かつ責任あるアクセスを確保するために、 ユーザーの同意および認可を どのように取得・記録・適用すべきかを説明します。
本ポリシーの目的は、 システム、データ、 およびデジタルリソースへのアクセスに関する ユーザー同意および認可の原則を定義することです。 本ポリシーは、 従業員、管理者、請負業者、 その他すべての認可されたユーザーに適用されます。
同意と認可は 別個の概念です。 法令または社内ガバナンス規定により求められる場合、 両方が必要となります。
同意とは、 ユーザーまたはデータ主体が、 アクセスまたは処理活動を許可するために与える 十分に理解された、 自発的で、 明示的な承諾を指します。
認可とは、 認証されたユーザーが 実行を許可されている操作を定める 技術的および管理的な制御を指します。
同意は、 自動的に無制限のアクセスを 付与するものではありません。 認可は常に、 定義された役割および正当な目的に 制限される必要があります。
管理者権限、 監視機能、 および機密システムへのアクセスには、 追加の正当化、 文書化、 および厳格な監督が必要です。
組織は、 法令により求められる場合、 アクセス、 監視、 またはデータ処理活動を開始する前に、 ユーザーの同意を取得する責任を負います。
同意は明確で、 文書化され、 ユーザーが合理的に理解できる形で 提供されなければなりません。 明示的な同意が必要な場合、 暗黙的または隠された同意の仕組みは 使用してはなりません。
アクセスは、 定義された役割、 責任、 および業務上の必要性に基づいて 付与されなければなりません。 最小権限の原則は、 常に適用される必要があります。
認可は定期的に見直され、 役割の変更や アクセスが不要となった場合には、 速やかに更新されなければなりません。
同意および認可に関する判断は、 内部レビュー、 監査、 および規制当局からの照会に 対応できる形で 文書化されなければなりません。
記録には、 同意が取得された日時、 認可されたアクセス内容、 および承認者が 明確に示されている必要があります。
同意の取得、 認可ルールの定義、 およびアクセス制御の実施に関する責任は、 すべて組織に帰属します。 本ポリシーへの違反は、 アクセス停止や 社内懲戒措置の対象となる場合があります。