|
プライバシーマークで、取引先からセキュリティ要求にお応えできていますか?
あなた会社の ”個人情報保護マネジメントシステム”は、「従業員個人情報保護マネジメントシステム」になっていませんか?
|
外部委託や入札要件として、情報セキュリティを担保するためにプライバシーマーク付与認定を要求する例が多くみられますが、それは、本当に適切でしょうか?
JISQ15001に基づく個人情報保護マネジメントシステムは、個人情報の取り扱いのプロセスを規定するものです。
個人情報の取得にあたっては、個人情報の利用目的を出来る限り特定し、取得時には本人からの同意を得なければなりません。また、目的外の利用を制限し、許可なく第三者への提供は認められません。本人からの開示要求があれば、手続きに基づいて開示しなければなりません。
そして、個人情報取扱プロセス全体における管理対象の中心は「開示対象個人情報」です。
「開示対象個人情報」とは、事業者の意志として、取得したり、提供したり、また、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができることができる権限を有する個人情報です。
仮に、情報システム開発におけるテストデータとして提供された(預けられた)個人情報や、クラウドサービス等において、お客様が、情報システム内に保存された個人情報などは、事業者の意志で取得するものでもありませんし、それらの個人情報を勝手に提供したり、開示要求に応じるなどの対象にしませんので、「開示対象個人情報」には当たりません。
これまで、数多くの、プライバシーマーク付与認定取得に関するご支援をしてきましたが、お客様の多くが、情報処理業で、かつ、BtoB事業を主体とする事業者で、社内において扱う「開示対象個人情報」は、従業員(採用時の従業員候補者含む)の個人情報だけである。との事業者が多くありました。
そのような会社では、プライバシーマークにおける個人情報保護マネジメントシステムは、「従業員個人情報保護マネジメントシステム」として存在しています。
即ち、プライバシーマークは、委託元のから提供したされた”仕様書”や”設計資料”、また、未発表の企業秘密(営業秘密)等を適切なセキュリティの下で保護することにについては、何の担保にもならない。と言うことです。
こうした実態の明らかになってきて、企業における外部委託のセキュリティ要件は、プライバシーマークよりISMSであるとの認識が拡大しています。
もちろん、お客様から個人情報を入手するBtoC事業に関わる事業者は別で、プライバシーマークは、お客様の個人情報を適切に取り扱っているとの信頼を与える上で、重要なツールになり得ます。
あなたの会社のプライバシーマークは、取引先の信頼に応えるための適切な仕組みになっていますか?
社内の企業機密(営業秘密)を保護するための適切な仕組みになっていますか?
あなたの会社にとって、プライバシーマークが相応しいか、ISMSが相応しいか、一度、しっかりと考えてみませんか?
まずはお問い合わせください。
|
|