 |
|
| ISMSからみる情報セキュリティ対策 |
第2回:プライバシーマークとISMSの違い
著者:みずほ情報総研 青木 淳 2005/9/15
|
|
|
| 1 2 3 4 次のページ
|
|
| はじめに
|
前回は個人情報保護法を中心に、情報セキュリティマネジメントを実施するための方法について説明をした。今回は企業内における情報セキュリティマネジメントシステムが適切に構築されているかどうかを、第三者の目から判断する認定制度について説明をする。
|
| プライバシーマークとは
|
プライバシーマーク制度とは、JIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)に適合して、個人情報の取り扱いに対して適切な保護措置を講ずる体制を整備している業者を認定する制度である。また、それを示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認めている(平成10年4月1日より運用開始)。
これまでの日本における個人情報といえば、住所・氏名などの名簿情報が売買されており、それが保護に値するプライバシー関連情報であるという認識がとても低かった。欧米では30年近く前から、個人情報の保護に関する法律が制定されていたが、日本ではなかなか議論が進まなかった。
ところが、1995年にEU(欧州連合)で「個人データ保護指令」が採択された。これは、EUと同等の「十分なレベルの保護措置」を講じない第三国への個人データ移転は禁止になるというものである。
これによって、EU圏内に存在する多数の日本の現地法人から、個人情報を日本の本社が入手できなくなるおそれもでてきた。そこでこの指令の対策として、このプライバシーマーク制度が日本情報処理開発協会(JIPDEC)を付与機関として開始されたのである。
|
| プライバシーマークの付与条件
|
プライバシーマーク付与の対象条件の主な条件は以下のようになっている。
- 国内に活動拠点を持つ事業者
- JIS Q 15001に準拠したCP(コンプライアンス・プログラム)を定めていること
- CPに基づいて個人情報の適切な取り扱いが実施されているか、実施可能な体制が整備されていること
- 申請日前の2年以内に認定を取り消される、あるいは個人情報を漏えいしたという事項に該当していないこと
- 申請までに1回以上は事業者内部の個人情報の保護の状況を監査していること
- 当該者にかかわる個人情報保護法に関する相談窓口が常設され、かつそれが消費者に明示されていること
- 当該者が有する個人情報について、外部からの侵入または内部からの漏えいが発生しないような適切な安全措置を講じていること
- 企業外部への個人情報の提供、取り扱いの委託を行う際には、責任分担や守秘に係る契約を締結するなど、個人情報について適切な保護が講じられるように措置すること
|
表1:プライバシーマークの付与条件
|
CP(コンプライアンス・プログラム)とは、実践遵守計画ともいう。JIS Q 15001では、事業者が自ら保有する個人情報を保護するための方針・組織・計画・実施・監査及び見直しを含むマネジメントシステムと定義している。つまりCPとは、個人情報に関する情報セキュリティマネジメントシステムを構築せよということである。CPの基本モデルを図1に示すので参考にして欲しい。
図1:コンプライアンス・プログラムの基本モデル
|
| コンプライアンス・プラグラムの作成手順
|
次にCPの作成手順を以下に示す。図1に示したように、PDCAのサイクルを実施するためのマネジメントシステムを構築することになるので、多くのステップが必要になる。
|
図2:CPの作成手順
(画像をクリックすると別ウィンドウに拡大図を表示します)
|
また、コンプライアンス・プログラムの作成にあたっては、様々な文書を作成する必要がある。作成にあたっては、JIS Q 15001の構成に従って作成するとよい(表1)。
|
表1:プライバシーマークで必要とされる文書
(画像をクリックすると別ウィンドウに拡大表示します)
|
1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
