 |
|
| ISMSからみる情報セキュリティ対策 |
第2回:プライバシーマークとISMSの違い
著者:みずほ情報総研 青木 淳 2005/9/15
|
|
|
| 前のページ 1 2 3 4
|
|
| 情報セキュリティに関するマネジメントシステムを計画的に構築できる
|
個人情報だけではなく情報資産すべてにおいて、ただ漠然とその対策・体制を整えるというのでは意味もなく、継続的な対応もできない。また、情報セキュリティ対策を実施しろと命じられた担当者も戸惑ってしまうであろう。こうした時に、ISMSやプライバシーマークといった認証基準が羅針盤となって、それにそって計画的に実施できるようになると思われる。
|
| 第三者からの評価
|
「個人情報保護対策は万全です」あるいは「情報セキュリティ管理は適切に行っています」といっても、その企業がいっているだけはその実態はわかりにくいものである。やはり、専門家である第三者の目で正しく見てもらい、その内容を評価してもらうことは重要である。
ISMS/プライバシーマークは審査は書類審査だけでなく、現地調査も行われると共に定期的な更新審査も入るので、ただ書類を作っただけあるいは認証を取得の時だけ努力したというものにならず、継続的な情報セキュリティ体制を維持していくことが可能となる。
|
| 顧客へのアピール
|
情報漏えい事件が毎日のように報道される昨今では、情報セキュリティ体制を整えている企業は、顧客へのアピールができると共に、顧客への信頼感も高まってくる。最近では、公共関係の入札の条件に、ISMS/プライバシーマークの認定も条件になっていることもある。また、ソフトウェアの開発委託などを実施する際に、情報セキュリティについてISMS相当の管理策を実施することを条件につけて、外部委託契約を結ぶところもでてきている。
表8のそれぞれの認証取得企業の数を見てもわかるように、対顧客との関係から認証取得を目指す企業は今後も増えていくと考えられる。
|
| コスト
|
デメリットはなんといってもどちらの認証もコストがかかるということである。
- 人的、物理的費用
- ISMSでもプライバシーマークでも、それぞれその体制構築には6〜12ヶ月程度かかるため、そこにには社内の人間をアサインしなければならない。また、体制構築の際には、セキュリティの強化をはかるため、情報システムの強化(ファイヤーオールの設置など)や入退館の強化(カードキーによる入室など)の資金確保のための予算化が必要になる
- 審査費用
- ISMS/プライバシーマーク共に、認証の取得には審査費用が必要になる。また、ISMSは3年、プライバシーマークは2年ごとに更新費用が発生するので、そのための予算確保が必要になる
- コンサルタント費用
- すべて自前で実施するのであれば不要であるが、無駄なく認証取得を目指したいのであれば、コンサルタントの活用は必要になると思われる
|
表9:取得するための費用
|
| 漏えい事故の際に公表される
|
プライバシーマークは、先に述べたように、プライバシーマーク取得業者がセキュリティ事故を起し、その対応が明らかにJIS Q 15001を違反していた場合には、プライバシーマークの取り消しという措置がなされ、その事実はJIPDECにより公表されてしまう(ホームページにて公表)。
公表されればその企業は、当然取得していない業者よりもよりもダメージは大きくなり、プライバシーマークの取得を後悔することにもなりかねない。
また、更新の際に更新を中止しても「プライバシーマークの使用を中止した事業者」と公開されてしまうので、理由は何にせよ企業イメージが悪化することになると思われる。
|
| どちらの認証を取得すればよいのか
|
それでは企業としてどちらの認証を取得すればよいのかということであるが、情報資産の中で個人情報を取り扱う割合がまずは1つのポイントになると思われる。当然、個人情報が多ければ、その対策を適切に実施していることをアピールするのであれば、プライバシーマークの取得を優先に検討するのがよい。情報資産の安全性を網羅的に確保したいのであれば、ISMSのほうが適切に実施することができると思われる。
また、コストについては、個人情報だけが対象であるプライバシーマークのほうがコストを低く抑えられるように思われるが、プライバシーマークは全社取得が基本的な条件なので、拠点が多く、個人情報を大量に扱っていれば、CPの構築は、非常にお金と体力を要することになる。
ISMSであれば、その対象範囲は選択できるので、低いコストで構築することも十分可能である。従ってコストで比較すれば、ISMSもプライバシーマークもそれほど差はない。
最終的には、その企業で十分に高い実行性が発揮され、対象顧客や企業を取り巻く環境によってどちらの認証を選択するかが決まってくるので、これまで記載してきた内容を参考にして、十分検討を進めて頂きたいと思う。
次回以降では、ISMSについて更に詳細を解説していく。
|
前のページ 1 2 3 4
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
