 |
|||||||||||||||
|
|||||||||||||||
| 前のページ 1 2 3 4 次のページ | |||||||||||||||
|
|||||||||||||||
| ISMSの構築手順 | |||||||||||||||
|
ISMSの構築手順は図3の通りである。プライバシーマークのCP同様に、構築には多くのステップが必要になる。また、構築にあたっては文書作成が必要となるが、基本的な要求事項のほかに、附属書の詳細管理策で要求されるものもあり、必要に応じて作成する必要がある。詳細管理策の概要については表7を参照。  図4:ISMSの構築手順 (画像をクリックすると別ウィンドウに拡大図を表示します)
|
|||||||||||||||
|
表7:詳細管理策の概要 |
|||||||||||||||
| プライバシーマークとISMSの違い | |||||||||||||||
|
これまで見てきたように、プライバシーマークとISMSには共通点がある。それはどちらの制度も、セキュリティに対するマネジメントシステム(プライバシーマークではCP)を構築し、運用していくという点である。このような第三者認定の制度の活用することによって、情報セキュリティの対応が企業にとって場当たり的なものにならず、継続的に実施して向上するメリットが生まれる。 しかしながら、ISMSとプライバシーマークには当然違いがあり、それをどのように活用していくかは、それぞれの企業によって異なるので、ここではその違いについて触れてみたい。 まず、基本的な違いは表8の通りである。一番の違いは、認証取得の対象となる資産が個人情報と情報資産の全体となる点である。プライバシーマークはJIS Q 15001をベースとしているので個人情報資産を対象とし、その取り扱い、入手経路から本人の苦情相談などのきめ細かな体制の構築が要求される。 |
|||||||||||||||
表8:IMSとプライバシーマークの違い |
|||||||||||||||
| 一方、ISMSの対象は情報資産すべてとしており、それを機密性、完全性、可用性の観点から適切保護するマネジメントシステムを構築することとなっている。個人情報については、プライバシーマークのようにきめ細かい指定まではないが、認証基準の詳細管理策の中に、「12.1.4データの保護及び個人情報の保護」という項目があるので、個人情報についても適切に対応する必要がある。 2番目の違いは認証取得の範囲である。プライバシーマークは基本的に全社での取得となるので、個人情報の取り扱いについては全社単位で徹底する必要がある。一方、ISMSはその認証取得範囲は企業側で設定できるので、お金と時間と人手がかかる情報セキュリティ対策を、少しずつ実施していくことができる。 そのほかに、有効期限の違いやプライバシーマーク制度には取り消し措置もあり、開示・訂正・削除に応じない、漏えい・紛失などによって、第三者に目的外利用されてしまうなど、情報主体(本人)に不利益を起こした際には、マーク利用が取り消され、2年間再申請できなくなってしまう可能性もあることに注意したい。 上記の内容を踏まえ、それぞれの認証取得のメリット、デメリットについて考えてみたい。 |
|||||||||||||||
|
前のページ 1 2 3 4 次のページ |
|||||||||||||||
|
|
|||||||||||||||
|
|
|||||||||||||||
|
|||||||||||||||
|
|
|||||||||||||||
|
|||||||||||||||
-
-
連載
