 |
||||||||||||||||||
|
||||||||||||||||||
| 1 2 3 4 次のページ | ||||||||||||||||||
|
||||||||||||||||||
| はじめに | ||||||||||||||||||
|
前回まではコンプライアンスについて説明してきたが、今回より個人情報保護/ISMS(Information Security Management System)に着目して、関連するリスクアセスメント手法を説明する。 |
||||||||||||||||||
| 個人情報保護とISMS | ||||||||||||||||||
|
個人情報保護とISMS、どちらもその保護対象である個人情報/情報資産を保護することが目的である。個人情報保護については表1の経緯があり、ガイドライン、認証制度、規格、法律が整備されている。
表1:個人情報保護法の経緯
また、ISMSについては表2の経緯があり、規格、認証制度が整備されている。
表2:ISMSの経緯
規格番号のコロン「:」以下は発行年をあらわす。JIS番号の「Q」「X」はJISの分類をあらわしており、「Q」は「管理システム」、「X」は「情報処理」である。
個人情報保護についてはすでに施行されており、法律上の義務として経営判断の前提として優先される。そしてJIS Q 15001:2006「個人情報保護マネジメントシステム-要求事項」は、プライバシーマーク認定制度の適用規格であるとともに個人情報保護法や各省策定のガイドラインへの対応を補完する役割を持っている。 ISMSについては、JIS Q 27001:2006「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」がISMS認証の適用規格であるとともに、企業があらゆる 脅威から情報資産を守るために体系的なマネジメントシステムを構築するための枠組みである。 JIS Q 15001:2006「個人情報保護マネジメントシステム-要求事項」、JIS Q 27001:2006「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」どちらもマネジメントシステムであり、経営者のツールとして位置付けられる。 個人情報保護とISMSを認証という観点で整理すると表3のとおりとなる。
表3:個人情報保護とISMSにおける認証
個人情報保護は、「社会法益」つまり法によって保護される社会生活上の利益を守ることが目的である。それに対しISMSは、「経営者利益」つまり情報セキュリティマネジメントシステム構築により自社、取引先等の情報資産を守ることが目的である。 |
||||||||||||||||||
|
1 2 3 4 次のページ |
||||||||||||||||||
|
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
-
-
連載
