Top / ISMS-P
HTML convert time: 0.029 sec.

ISMS-P

Last-modified: 2015-02-24 (火) 22:13:27

ISMS for Privacy (ISMS-P)

ISMS for Privacy は、ISMS(ISO/IEC27001に基づいた情報セキュリティマネジメントシステム)をベースにして個人情報保護マネジメントシステム(PMS)も実現する手法です。

これまで個人情報保護といえばJISQ15001をベースにしたプライバシーマーク制度で行われていました。ISMSを個人情報のために有効に適用する方法は、確立されていませんでした。

ISMS for Privacy は特定非営利活動法人 統制技術研究機構(略称GTO)[外部リンク]が開発したISMSの活用技法です。タテックス有限会社ではこのGTOに認定された品質のコンサルティングを提供しております。

情報セキュリティに必要なものは何か

情報セキュリティについて、ISO/IEC27002では「事業継綾を確実にすること、事業リスクを最小限にすること、並びに投資に対する見返り及び事業機会を最大限にすることを目的として、情報セキュリティは、広範囲にわたる脅威から情報を保護する。」、「その組織の事業リスク全般に対する考慮のもとで、組織の情報セキュリティリスクを運営管理するための管理策を導入し、運用する。」と紹介されています。

この2つの文章から情報セキュリティとは、事業を継続し、事業リスクを低減し、事業機会を最大にするものでなければならないと解釈できます。

つまり、情報セキュリティマネジメントは事業に直結したリスクマネジメントでなければなりません。そして事業リスク全般を考慮した取り組みでなければならないのです。

事業リスクを考えた場合、情報セキュリティは最優先事項でないかもしれません。事業リスク全般の中で情報の重要性に見合った管理策の適用、リソースの投入でなければなりません。個人情報についても同様であるべきことは言うまでもありません。

事業の継続性が高まり、事業リスクが低減され、事業機会を最大にするためのマネジメントになるような個人情報の管理であるべきで、そのためにはどうマネジメントシステムを構築すべきなのかを考える必要があるという問題提起です。

一方、現状のわが国の実態はどうでしょうか。プライバシーマーク制度はかつて個人情報保護のコンプライアンスプログラムと称しておりました。名称をマネジメントシステムと変えた今でも法令順守を絶対なものとしています。

PMS構築のガイドライン(指針)が、あたかも必須の要求事項のように解釈され、ひとつ一つしらみつぶしに要求事項を押し付けております。適用外の要求事項までルール化を求めるなど、事業の足かせになる仕組みを平気で求め、現実を知ろうとしない審査に明け暮れております。

確かに個人の権利を尊重する倫理観は必要です。法令違反を犯さない、起こしにくい環境整備も必要です。

しかし、事業への影響が無いところへの管理策の適用は、おのずと守らなくなり、守らなくても良いルールの存在が、ルール全体の形骸化を招いていきます。

現実的でない無理なルールを適用すれば、どうでも良いことに過剰なエネルギーを注ぎ、事業リスク全般への対応のバランスを壊す危険性はかなりあります。個人情報の行き過ぎた管理の問題点は良く指摘されているところです。

こうしたわが国の現状を変革し、本来の情報セキュリティを実現させたい。当社がISMS for Privacy のサービス提供する理由です。

本来の情報セキュリティを実現していくには、情報セキュリティに余計な仕掛けを作らないことです。最低限何を整えなければならないかを知ったコンサルティングを提供し、現実的なシステムを構築することで、事業に直結したリスクマネジメントを構築する必要があります。

当社はISMS for Privacy を使ってそのためのアプローチを、最適システムを提供しています。

ISMS for Privacy の認証とは

ISMS for Privacy は、JIPDEC、JAB、UKAS、JASANZなどのIAF登録機関から認定された認証機関が提供するISMS認証が、ISMS for Prjvacy の考えに基づいて個人情報を対象にマネジメントしていることを第三者に別途証明するものです。
認証機関は、特定非営利活動法人統制技術研究機構の趣旨に賛同頂いた機関に限られます。現在のところ外資系4機関です。

ISMS for Privacy の認証の特徴

審査員の認定とコンサルタントの認定による質の安定したコントロールをしています。

ISMS for Privacy の認証審査員は、各機関から選抜されたISMSの審査員を対象に、特定非営利活動法人統制技術研究機構のトレーニングを施し、ISMS for Privacy のアプローチを理解し実践できる審査員のみを認めることで、審査品質にバラツキ或いは、低下が生じないようコントロールされています。また、コンサルタントについても、同様にトレーニングを施し、要員の認定による差別化を図っています。

審査プロセスの監視をしています。

審査プロセスについては、特定非営利活動法人統制技術研究機構が、客観的に"質"を監視し、各機関代表からなる諮問委員会で"質”の向上を図ることで、プライベート認証のように御手盛りで、疑わしい認証にならないよう管理されています。

プライバシーマークとISMS for Privacyの比較


ISMS for Privacyプライバシーマーク
根拠基準ISO/IEC27001の要求、既存のISO/IEC27001認証制度はそのまま手を加えず、個人情報保護のマネジメントに必要な要素としてJIS Q 15001との統合を定義したもの。国際的な基準で認証取得JIS Q 15001=日本国内のみの基準
総括B2B(同一企業内やグループ間も含む)企業にのみならずB2C企業にも適用できるネーミングの分かりやすさから B2C企業に適する
認証単位工場・支店や部門単位での取得可全社で取得が原則
対象情報認証範囲の個人情報を含む重要な情報個人情報(顧客、社員情報を含む)
ペナルティ認証の停止認定の停止、社名をインターネットで2年間公開
審査機関GTOに認定された認証機関のみJIPDEC(一部例外あり)
審査員GTO研修で選別・認定された審査員のみJIPDEC職員(一部例外あり)
コンサルタントGTO研修で選別・認定されたコンサルタントのみ任意
アプローチまず、適用範囲を定め、その範囲の重要情報(個人情報を含む)を洗い出すリスクマネジメントのアプローチ個人情報の収集(取得)から保管・利用、提供、委託や、返却、輸送、破棄などの“ライフサイクル”に対応した“業務フロー的なアプローチ
構築手順体系的なISO/IEC27001管理策のフレームをベースにJISQ15001の管理策を加える“合理的な安全対策”を要求しているが、審査員のバラツキがあり不明確で、要求がエスカレーションする傾向がある
構築費用適用範囲を絞り込み安価に構築が可能。会社単位での取得が原則のため会社規模が大きくなれば費用負担が大きい
審査費用事業規模に応じた審査工数が適用されるため、50名を超えたあたりから割高感あり事業の規模の大小に関わらず、30万円、60万円、120万円の3段階であるため、審査費用は安価
運用費用年に少なくとも1回の定期審査があり、また3年毎に更新審査があるため、毎年継続的に費用が発生する。
指摘事項は、事業上の保護の要求に見合った指摘であるため、事業上の悪影響は少ない。
2年間審査訪問が無く表面に出る維持費用は小さいように見える。しかし、審査での指摘は、事業上の重要性に関わらず一律に管理策の適用が求められるため、効率性を阻害するなどの事業上の悪影響は計り知れない。その為、取得後2年間システム運用をしていないで更新を辞める事例や、更新審査時に、初回と同様の費用を掛け再整備する事例もある。


ISMS for Privacy 構築の違い-4つのパターン

パターン1

ISMS for Privacy をゼロから構築する場合。他のしがらみがないので効率的に進められます。ISO9001、ISO14001などのシステムとの統合マネジメントシステムにすることも可能です。ご相談ください。

パターン2

既にISMSを構築済みの組織が ISMS for Privacy を導入し、保護すべき情報の範囲を個人情報に広げる場合 ISMS⇒ISMS-P

パタ一ン3

Pマ一クを取得している組織がISMS for Privacy を導入し、ISO/IEC27001べ一スのフレームワークを構築する場合 PMS⇒ISMS-P

パターン4

既にISMS構築済みでかつ Pマークも取得しているが取り組みが一体化していないためISMS for Privacy を用いて改善する場合

ISMS for Privacy の構築は各パターンに応じて、既に出来ている部分とこれから構築する部分との融合を、事業の継続性、事業リスクの低減、事業機会の最大化を意識し、最適な方法を選択いたします。詳細は当社までご相談ください。


御見積りは信頼と実績のタテックスまでお問合せください。

   お問合せは、ここをクリック→お問合せ