情報セキュリティ「ISMSとPマークの違い」
こんにちは
旧財団法人 日本情報処理開発協会(JIPDEC) 情報マネジメントシステム推進センター参照
① 情報セキュリティとは
はじめに
■2001年、「2005年までに世界最先端のIT国家となる」という「e-Japan戦略」が国家戦略としてスタートした年、「IT」を「イット」と呼ぶ首相がいたことを記憶している人もいらっしゃるかと存じます。それからのITの普及はめざましく、企業の経済活動や人々の日常生活までも社会の有様は一昔前とは一変したと言っても過言ではありません
しかし、ITへの依存度を高め、文明の利器の恩恵を最大限に享受しようとする動きの一方で、法整備や安全面への技術対応が追いつかず、個人情報や企業機密情報の漏えい事故、情報システムへの不正アクセスやコンピュータウイルスの感染等による情報システムの停止、さらには、天災・人災による情報システム停止に伴う社会機能麻痺への不安など、様々な脅威に晒されることになってしまいました。そして、私達は情報化社会の中で生き抜くために、それら様々な脅威から身をかわす術を身に付ける必要に迫られ、情報セキュリティを意識せずにはいられない環境に置かれることになりました
情報セキュリティとは
■情報セキュリティという言葉は、コンピュータ上の情報漏えい防止やウィルス感染の防止など、多くの人が容易にイメージできるほどに一般化してきております
国際規格である ISO/IEC27001(日本産業規格:JISQ27001情報セキュリティマネジメントシステム/ISMS)では、情報セキュリティを情報の機密性、完全性及び可用性を維持することと定義としています
機密性とは、見られたくない人には、見られないようにすることであり、情報漏洩とは、機密性が侵害された事例です。完全性とは、意図した通りに、正しく完全であることです。例えば、誤ってデータ入力すると完全性が損なわれます。可用性とは、利用したい時に利用できることです。WEBサイトへアクセスした時に、アクセスが混み合って接続できない状況は可用性が損なわれています
しかし、機密性や完全性を追求し過ぎると、可用性が損なわれるなど、往々にして相反する関係です。これらをバランス良く維持することが大切で、ここに情報セキュリティの難しさがあります
情報セキュリティの機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の英頭文字をとり、情報セキュリティのCIAと言われています。この3つの要素はぜひ覚えてください
②「ISMS」と「プライバシーマーク」の違い
ISMSとプライバシーマークの比較および選択
■ISMS適合性評価制度(JISQ27001)と並んで、よく話題となる第三者認証制度に、プライバシーマーク制度(JISQ15001)があります
情報セキュリティとは
ISMSとプライバシーマークどちらを取得すべきか
自社で直接取得する顧客等の個人情報が多い場合(B to Cが主体)はプライバシーマーク。自社で直接取得する個人情報が従業員情報ぐらいであり、外部から預かる情報を処理することが多い場合(B to Bが主体)はISMS
2005年(平成17年)4月1日の個人情報保護法の施行以後、個人情報等の機密情報漏えい事件などが頻繁に報じられるようになり、企業のみならず国民全体としての情報セキュリティーへの関心も高まり、プライバシーマーク付与認定事業者が急増しました。プライバシーマーク制度は、個人情報当事者のプライバシーを保護する思想から始まっており、個人情報の取得、利用・提供・委託、保管及び廃棄、開示等要求対応、苦情対応など、個人情報の取り扱い全般に関するマネジメントシステムです。日本産業規格:JISQ15001個人情報保護マネジメントシステムに適合していることを第三者が認証するものがプライバシーマークです。個人情報の紛失や漏えいなどに対するセキュリティ対策もその一部として当然に要求されています
スクロールできます
| ISMS | プライバシーマーク | |
|---|---|---|
| 規格 | 情報セキュリティマネジメントシステム 国際標準規格 ISO/IEC27001 日本産業規格 JISQ27001 | 個人情報保護マネジメントシステム 日本産業規格 JISQ15001 |
| 対象 | 適用範囲内の全ての情報資産全般 | 企業内のすべての個人情報 |
| 範囲 | 事業所単位、部門単位、事業単位 | 企業全体 |
| 要求 | 情報の機密性・完全性・可用性の維持 (情報資産の重要性、リスクに応じた適切な情報セキュリティ) ※個人情報は、個人情報保護法および契約上の要求事項遵守 | 適切な個人情報の取り扱い (個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応など) ※個人情報保護法を包括する厳格な取り扱いが求められる |
| 更新 | 3年 | 2年 |
コールセンター業では「JISQ15001:2017 個人情報保護マネジメントシステム」を構築運用しましょう
※個人情報保護マネジメントシステム規格合格=プライバシーマーク付与認定事業者
経営者目線での検討要素を以下に記載いたします
個人情報保護マネジメントシステム(日本産業規格です。合格すると、任意でプライバシーマーク商標を使用する権利を得ます)における個人情報保護とは、前述の通り、個人情報の取り扱い全般についての保護であり、その内容は、個人情報保護法を包括した、厳格な取り扱いが求められます。簡単に言えば、お客様の個人情報は目的を定めて収集し、目的外の利用をしません。と宣言するものです。当然に個人情報漏洩にも努めなければなりません
お客様の観点から安心を得るに相応しい要求事項であり、顧客情報などを多く保有し、個人情報保護法に対応した個人情報の取り扱いが必要とされる企業においては、プライバシーマークは大変相応しいものです。しかし、プライバシーマーク付与認定事業者には、実は自社業務として顧客情報を殆ど扱うことのない情報処理事業者が随分多いのです
他社から個人情報の処理業務を受託するにあたって、個人情報漏洩などの事故を起さない信用の証しとしてプライバシーマーク取得は効果的です。行政機関の入札では、ISMS/プライバシーマークのいずれかが必須要件です。プライバシーマーク付与認定事業者は委託先に対し、必要な個人情報保護水準を満たしているか委託先調査を毎年実施しなければなりませんが、委託先がプライバシーマーク付与認定事業者であれば委託先調査が不要ですので、それだけでも委託先選定の要件になりえます
※メールサーバーなどの膨大な個人情報委託は必要
個人情報保護マネジメントシステムにおける要求事項は、個人情報の取り扱い全般について求められ、その範囲は、個人情報の利用の意思決定から、利用目的の設定、個人情報の取得、本人からの開示・訂正等の対応、個人情報に関する苦情処理など多岐に渡ります
個人情報保護マネジメントシステム要求事項の個人情報保護の実施・運用部分では、受託業務の中で預る個人情報を対象にした事項は限られます。直接取得する従業員の個人情報に対しては、広範囲にわたる全事項が適用されます
本来、委託元から預った個人情報の滅失や漏洩等を防止するための情報セキュリティ向上を目指したはずが、従業員個人情報の厳格な取り扱いを定めた個人情報保護マネジメントシステムの構築に労を費やすことになるのです
ISMSは適用範囲を限定できて必要最低限に設定ができる
プライバシーマークは適用範囲が広く膨大な運用工数がかかる
率直に申しますと、自社情報処理に最適な規格に合格することが、受注を増やす(稼ぐ)ことにつながるわけではないので、よく検討し、目的に沿った規格に挑むべきだと存じます。どちらの規格も情報セキュリティは充分に構築運用することになります
あわせて読みたい
コールセンター用語一覧・用語集
こんにちは👾 コールセンターの研修記事を投稿しておりますが、講習でないとなかなか細かいところまで説明できません。また、なるべく専門用語を使わないようにしている…
この記事が気に入ったら
フォローしてね!
