第109回 プライバシーマークとISMSの違い(2)
プライバシーマーク制度(Pマーク)と、情報セキュリティマネジメントシステム適合性評価制度(ISMS)の違いを、考えてみたいと思います。
■申請できる組織の単位(適用範囲)
Pマークは、事業者(法人)単位に付与されます。取得には、全社的な取り組みが必要です。
かつて数万人の従業者がいる企業は、事業部門単位の認定が可能でしたが、個人情報保護法の全面施行にともなって、部門認定がなくなりました。
2005年6月24日に制度が更新されたので、注意してください。
仮に全社でなく特定の部署だけがPマークを取得すると、一般消費者には、その区別がしにくいとものです。誤解を避けるためにも、事業者単位の取得を推奨していると思われます。
ISMSは、事業部や部・課等の組織単位で取得が可能です。必ずしも、全社で取得する必要はありません。例えば、全ての事業はISMSで保護する必要がなく、ある特定の部門、支店や工場だけを保護の対象にすればよい場合があります。その場合は、適用範囲を決めて申請します。
ISMSの適用範囲は、(1)事業の特徴、(2)組織、(3)所在地、(4)資産、(5)技術の5つの観点で決めます。
■どのような情報を保護するか(管理範囲)
Pマークは、事業者が保有するすべての「個人情報」が対象です。事業者が取り扱う個人情報を特定して、保護対策を実施します。
この場合、消費者などお客様の情報に限らず、従業員の情報や取引先企業の担当者情報など、社内にあるすべての個人情報が対象となります。
個人情報を特定する際に、社員情報、採用情報、名刺、監視カメラの画像などがヌケやすいので注意しましょう。
個人情報を特定するとき、「情報のライフサイクル」に対応した、アプローチをとります。情報のライフサイクルという表現は、人間が生まれてから成長し、死を迎え、やがてどこかで生を受けて生まれ変わる、輪廻(りんね)転生になぞらえた考え方です。
組織が扱う個人情報も、収集(取得)、利用、保管、委託、提供、廃棄と、その状態が移り変わり循環(サイクル)する様を、業務フローに沿って定義する作業です。
Pマークは、会社のあちこちに散在している個人情報を起点として、リスク分析と対策を行うスタイルといえましょう。
また、個人情報を安全に管理するほかに、
・利用目的等について、事前に本人に同意をとる
・同意を受けた利用目的以外に利用しない
・本人からの開示、訂正、利用停止などの要望に応じる
など、漏洩(ろうえい)、改ざん、紛失等のリスク対策に加え、個人情報のライフサイクルの全てを、情報主体の合意をとりながら運用することが必要です。
ISMSは、組織が保有するすべての「情報資産」が対象です。組織が保護すべき情報資産を識別し、セキュリティ対策を実施します。
保護の対象は、個人情報に限られません。個人情報であっても、顧客企業からお預かりする製品やサービス等の情報であっても、「大切な情報には変わりない。」という基本的にBtoBの発想です。
委託先企業に情報を預ける時、該当する部署がキチンと対応できればよい、と考え、事業部単位の取得を認めていると思います。
保護の対象は、個人情報に限られません。しかしながら、経営資源には限りがあり、すべての情報資産を等しく守ることはムリがあります。
そこで、組織が保有する情報資産を洗い出し、その情報資産に対してどのような危害をうける可能性(脅威)があるか、その脅威によってどのような影響を受ける弱さ(脆弱性:ぜいじゃくせい)があるかを明確にします。
そして、重要なものに経営資源を集中させ、効率的かつ効果的に守る仕組みを作ります。
ISMSは、会社の事業や支店など対象となる範囲を起点とし、網羅的に情報資産の安全性を管理するスタイルといえましょう。
