|
ISO27001/ISMSとは 3/4
ISMSとプライバシーマークの違い、比較、どちらが良い?
■ISMSとプライバシーマークの選択
「ISMS適合性評価制度」と並んで、よく話題となる第三者認証制度に「プライバシーマーク制度」があります。
「ISMSとプライバシーマークの違いは何かを簡単に説明して欲しい。」「当社は、ISMSか、プライバシーマークか、どちらを取得すべきでしょうか?」との問い合せも実際に多くあります。
結論から言えば、 「自社で直接取得する顧客等の個人情報が多い場合(B to Cが主体)はプライバシーマーク。自社で直接取得する個人情報が従業員情報ぐらいであり、外部からの情報処理等で預かる個人情報(別に個人情報のみに限りませんが)が多い場合(B to Bが主体)はISMS。」という説明で良いと思います。
2005年(平成17年)4月1日の個人情報保護法の施行以後、個人情報等の機密情報漏えい事件などが頻繁に報じられるようになり、企業のみならず国民全体としての情報セキュリティーへの関心も高まり、プライバシーマーク付与認定事業者が急増しました。
プライバシーマーク制度は、「個人情報の当事者のプライバシーを保護する。」という思想から始まっており、個人情報の取得、利用・提供・委託、保管及び廃棄、開示等要求対応、苦情対応など、個人情報の取り扱いに全般に関するマネジメントシステムが、日本工業規格「JIS Q 15001:個人情報保護マネジメントシステム―要求事項」に適合していることを第三者が認証するものです。
個人情報の紛失や漏えいなどに対するセキュリティ対策もその一部として当然に要求されています。
プライバシーマークについては、本サイト上でも述べていますので参考にしてください。
ISMSとプライバシーマークの違いを簡単に比較すると以下のようになります。
制 度 |
ISO27001/ISMS |
プライバシーマーク |
規 格 |
国際標準規格 ISO/IEC27001:2005
日本工業規格 JISQ27001:2006 |
日本工業規格 JISQ15001:2006 |
対 象 |
適用範囲内の全ての情報資産全般
(ハードやソフト、当然に個人情報も含まれる) |
企業内のすべての個人情報
(従業員の個人情報も含まれる) |
事業所単位、部門単位、事業単位も可 |
企業全体 |
要 求 |
情報の機密性・完全性・可用性の維持 (情報資産の重要性、リスクに応じた適切な情報セキュリティ)
※個人情報については、個人情報保護法および契約上の要求事項の順守が求められる。 |
適切な個人情報の取り扱い (個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応など)
※個人情報保護法を包括する厳格な取り扱いが求められる。 |
更 新 |
3年毎、および、毎年の継続審査 |
2年毎 |
相互認証 |
IAF加盟の数十カ国の認定機関間で相互認証 |
米国BBBOnLineと相互認証(2008年6月終了)
中国・大連市のソフトウェア産業協会「PIPA制度」と相互認証(2008年6月より) |
セキュリ
ティ対策 |
133項目の詳細管理策 |
合理的な安全対策 |
※国際的な適合性評価の世界では、「認定(accreditation)」と「認証(certification)」という用語を明確に使い分けしているそうです。本サイト内では混同して使用しているところもあるかも知れませんが、ご容赦ください。
参考:http://www.jab.or.jp/faq/faq-20050831-2.html (財団法人 日本適合性認定協会(JAB))
プライバシーマークの「個人情報の保護」とは、前述の通り、個人情報の取り扱い全般についての保護であり、その内容は、「個人情報保護法」を包括した、厳格な取り扱いが求められます。
簡単に言えば、お客様の個人情報は目的を定めて収集し、目的外の利用をしません。と宣言するものです。当然に個人情報漏洩にも努めなければなりません。
お客様の観点から安心を得るに相応しい要求事項であり、顧客情報などを多く保有し、個人情報保護法に対応した個人情報の取り扱いが必要とされる企業においては、プライバシーマークは大変相応しいものです。
しかし、プライバシーマーク付与認定事業者には、実は、自社業務として顧客情報を殆ど扱うことのない情報処理事業者が随分多いのです。
「他社から個人情報(データ)の処理業務を受託するにあたって、個人情報漏洩などの事故を起さない信用の証しとしてプライバシーマークを取得したい。」とか、あるいは、委託元から、個人情報の処理を委託するにあたってプライバシーマーク取得を要求される例も結構あるようです。
でも、ちょっと待ってください。
プライバシーマークにおける要求事項は、個人情報の取り扱い全般について求められ、その範囲は、個人情報の利用の意思決定から、利用目的の設定、個人情報の取得、本人からの開示・訂正等の対応、個人情報に関する苦情処理など多岐に渡ります。
しかし、受託業務遂行の中で、他から預った個人情報は、「個人情報の利用目的の特定」「取得時の書面による通知し、および、書面による同意」「選定基準に基づく委託先の選定」「個人情報の開示要求に対して本人確認や所定の請求に基づく手続きの制定」などと言った部分は通常は対象外となることが多いのもです。
プライバシーマーク要求事項の個人情報保護の実施・運用部分で、受託業務の中で預る個人情報の対象となるのは、概ね、下の赤字に示す部分だけでしょう。
プライバシーマーク(JISQ15001)における要求事項 |
 |
大雑把に言えば、赤字の部分が、情報セキュリティに関する事項です。 |
|
そうなれば、それ以外の要求事項(青字の部分)への対応は不要か?と言えば、そうではありません。
個人情報には、従業員の個人情報もあります。
プライバシーマークでは、従業員の個人情報に対しても同様に適切な管理が求められますので、上の青字の部分は、従業員個人情報を対象として取り組まなければなりません。
本来、委託元から預った個人情報の滅失や漏洩等を防止するための情報セキュリティ向上を目指したはずが、従業員個人情報の厳格な取り扱いを定めた「従業員個人情報保護マネジメントシステム」の構築に労を費やすことになるのです。
「とりあえず、認定が欲しい」との経営者の思いも分からなくはありませんが、本来守らなければならない情報資産が ”個人情報ではないではない” などとしておざなりになってしまい、無駄な投資に終わっている例も多いものと思います。
このような背景には「個人情報=プライバシーマーク」との短絡的な判断があるように思います。
従業員の個人情報も厳格に取り扱うことは大変良いことです。しかし、今、真に保護しなければならないものは何か?今、求められているものは何か?を良く考え、プライバシーマークとISMSとの違いを良く認識してた上で選択して欲しいと思います。
もちろん、両方取得することは、なお良いことですが、同じセキュリティ系のマネジメントシステムですから、普通は、どちらか一方で良いと思います。
ISMSとプライバシーマークの違いを良く理解していただき、無理のない、無駄のない情報セキュリティ対策を講じていただきたいと思います。
また、「プライバシーマークの方が安い費用で取得できる。」との認識もあるようですが、ISMSでは、保護すべき対象が明確になれば、その対象を扱う部門のみで認証取得できますので、一概には言えません。
少なくとも、「個人情報=プライバシーマーク」「プライバシーマークの方が簡単に安い費用で取得できるから。」との誤った認識による選択だけはやめていただきたいと思います。
ちなみに、ISO27001/ISMSでも、情報セキュリティ上の管理策として、個人情報保護法の法的要求事項や契約に盛り込まれた要求事項は遵守しなければなりません。
「プライバシーマークなら良いが、ISMSはダメ。」と言った社会的評価は無いと思いますし、国際標準(ISO)となった事で、今後、さらに評価が高まることでしょう。
|
|