 |
|
| ISMSからみる情報セキュリティ対策 |
第1回:情報セキュリティマネジメントシステムとは?
著者:みずほ情報総研 青木 淳 2005/9/5
|
|
|
| 前のページ 1 2 3 4
|
|
| 厚生労働省のガイドライン
|
厚生労働省のガイドライン(正式には「雇用管理に関する個人情報の適正な取り扱いを確保するために事業者が講ずべき措置に関する指針」)は、業種には関係なく、雇用管理に関して個人情報を取り扱う場合、所管の省庁のガイドラインと合わせて適用する必要があるとしている。
このガイドラインは、雇用に関する個人情報の扱いが中心であり、特に委託先との契約において明確にすべき事項を提示している。例えば、利用目的達成後の個人データの返却、または委託先における破棄、若しくは削除が適切かつ確実になされることなどである。
|
| 金融庁のガイドライン
|
金融庁のガイドライン(正式には「金融分野における個人情報保護に関するガイドライン」)は、銀行、証券会社、保険会社などの所謂金融機関が適用対象となる。
経済産業省のガイドラインと同様に、安全管理措置や従業員、委託先の監督義務などで実施すべき事項を提示しているが、より厳しい内容となっている(経済産業省のガイドラインで「望ましい」となっているものが、「ならない」という記載になっている)。
また、センシティブ情報の取得禁止や与信事業に関する個人情報の取得の際には利用目的の同意を義務付けるなど、個人情報の取り扱についても厳しい内容となっている。
また、金融機関は多くの個人情報を取り扱うことから、業界団体においてさらなるガイドラインを提示しているところもある(全銀協の個人情報の保護と利用に関する自主ルールなど、図3参照)。
図3:金融業界における個人情報保護法と関連ガイドラインとの関係
(画像をクリックすると別ウィンドウに拡大図を表示します)
その他の業種でも、所管する各省庁が適切なガイドラインを提示しており、個人情報に関する取り扱いの指針を示している。
以上のように、個人情報保護法の施行によって、個人情報の取り扱について企業は体制を構築しつつあるが、企業が扱う情報は個人情報だけではない。個人情報保護法に関連したガイドラインに情報セキュリティマネジメントシステムに関連した記載があり、企業側はその必要性を認識しつつあるが、まだ個人情報の範囲にとどまっており、情報資産全体のセキュリティマネジメントシステムを構築している企業は少ない。
次回からは、個人情報保護法から高まった情報セキュリティ管理について、個人情報を含む情報資産全体を管理するための情報セキュリティマネジメントシステムについて、ISMSを中心に話を進めたい。
|
前のページ 1 2 3 4
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
