|
現地審査やセミナーでよく質問される事項として、
「プライバシーマーク制度と ISMS 制度 との違いは?」というのが多くありました。
プライバシーマークセミナー資料
にも若干書きましたが、補足的に説明をします。
対象が個人情報に限定したものか、情報全般に渡るかの違いはあれ、
同じ 情報セキュリティに関するマネジメントシステム であるので、
違いを理解し、自社の状況に当てはめて、
「プライバシーマーク か
ISMS」か、
はたまた両方必要かを事業者自身が判断すべき事項であると思います。
ISMS 制度の FAQ
にも同様のコンテンツがありますが、
以下、「個人情報」に限定して、
具体的に両者の比較をしてみます。
1. アピール先
おおよその消費者は、
セキュリティに関して、ほとんど自分のプライバシーを念頭に置いて考えるでしょうし、
おおよその企業にとっては、個人情報保護とは、
漏えいや盗難などのセキュリティ問題に帰着して考えているかもしれません。
そもそも 個人情報保護 において、
“安全に管理する”というのは、
OECD 8原則
の1項目にすぎず、それ以外に、
- 利用目的・提供先などについて事前にきちんと同意を取る
- 同意を受けた利用目的以外に利用しない
- 同意を受けた提供先以外に提供しない
- 本人からの開示・訂正・削除などの要望に対応する
など、情報主体本人に対する「1to1サービス」に近いことが求められる。
というわけで、プライバシーマークは、
情報主体本人とのやりとりが多い B2C 事業者向けであり、
一方、ISMS/BS 7799 の方はどちらかと言うと、
委託
や預託など B2B (同一企業内やグループ間も含む)
が対象であることが多いと思われる。
というのも、企業にとってみれば、
個人情報 であろうが、そうでなかろうが、
「お客様(委託元・発注元)から預かった大切なデータ」
には変わりがないはずである。
2. 規格間の相関関係
規格の違いなど
細かい説明はここでは省略するが、
それぞれお互いに“部分集合的”な関係になっている(参考:プライバシーマークセミナー資料[PDF: 880kB] の「補」)。
事業者において、個人情報
は企業で扱う情報の一部であることには間違いないと思うが、
が、
JIS Q 15001:1999
の「3.a) 個人情報の定義」や「4.3.1 個人情報の特定」
の要件を満たしているかが重要なポイントとなるであろう。
というのも、個人的な審査の経験から見て、
情報セキュリティ方面からのアプローチで個人情報保護を進めていくと、特に、
- 社員情報/採用情報
- 名刺、公開情報
- 記録、ログ、監視カメラの録画データ
などが抜けやすいようである。
ISMS から個人情報保護のアプローチをする場合、取り扱う
個人情報のリスク
に応じて「5.2 情報の分類」に適切に分類され、
これに従った“管理レベル”で管理することであれば問題ないと思うが、
これに加えて、
“目的外利用”の
リスクを考慮した対処が補えているか否かがポイントであるかと思われる。
3. 申請範囲の違い
委託をする場合には、事業者全体ではなく、
該当する部署や工場がきちんとしていればよいと思われ、
ISO 9001 や ISMS 制度
では、工場や支店単位での申請を認めている(と思われる)。
一方、プライバシーマーク制度 では、
JIS Q 15001:1999 に「事業者」や「代表者」という記述があるためでもあるが、
基本的に消費者に対して誤解がないように“全社単位”
を原則としている(例外的に“部門単位”も認めている)。
余談だが、最近では会社分割が増え、グループ企業間での連携が多くなり、
個人情報保護法
の“共同利用”に該当する事例が多くなると思われるので、
今後、連結決済の対象企業同士などの
“複数企業単位”という考えも必要になってくるかもしれない。
4. セキュリティ対策のアプローチの違い
ISMS での手法では、まず、事業部や工場というようなロケーションや、
「ネットワーク」や「物理的対策」というような形態について、
“先に対象範囲を限定する”アプローチであるかと思われる。
よって、委託先の部署、支店、工場単位での取得が可能になるので、
ISMS の方のアプローチは
受託系企業
に向いているかと思われる。
これに対し、
JIS Q 15001:1999
では、「個人情報のリスクに応じて...」というように、
個人情報の収集(取得)から保管・利用、提供、委託や、
返却、輸送、破棄などの
“ライフサイクル”に対応した“業務フロー
的なアプローチが必要になる。
要するに、JIS Q 15001:1999 では、
あくまでも自社内に存在(点在)する 個人情報
がリスク分析の起点になる。
これに対し、ISMS でのアプローチでは、
まず対象範囲を決め、既存の設備や装置をリスク分析の起点とできるので、
SLA(サービス品質保証) 的に
セキュリティレベルを定めていくことができるかと思われる。
5. 取り消し措置
ISMS 制度でも、マークの不正利用に関しては取り消し措置があるようだが、
プライバシーマーク制度では、それ以外に
開示・訂正・削除に応じないとか、
漏えい・紛失等により、第三者に“目的外利用”されてしまう等、
情報主体(本人)に不利益を起こした際、
最悪の場合、マーク利用が取り消され、
2年間 再申請できなくなってしまう。
今までに1件だけ
取消しの事例
があるが、
民間や自治体などから受託を受けるための条件になっている場合があるようなので、
取消措置を受けると事業者にとって致命的な結果になってしまう。
同じ情報セキュリティに関するマネジメントシステムでありながら、
プライバシーマークの方は、“仕組みの確立”だけでなく、
“認定後のパフォーマンス”も求められる点が大きく違う点であろう。
あとがき
自社の現状把握をすれば、受託以外の個人情報を取り扱う割合などにより、
「プライバシーマークか ISMS か」が自ずと決まるであろうと思われます。
会社によっては両方必要かもしれませんが、
その場合でもどちらを 主軸 にするかを決めないといけないでしょう。
情報主体(本人)から直接個人情報を収集をせず、
開示・訂正・削除などのやりとりをしない事業者は、
“保管・利用(処理)”部分だけの個人情報保護
になるかと思われます。
個人データ に関する
安全管理措置 や、
間違えずに処理するといった“品質的な正確性の確保”だけであれば、
-
個人情報保護法(特に 19〜22条)遵守 + (ISMS or ISO 9001)
でも十分かもしれません。
ISMS基準
や JIS X 5080:2002
では「12. 適合性」の項目がありますので、
保護法ではなく、自主的に
JIS Q 15001
のレベルに遵守するのは全然問題ないとは思いまし、
どちらかと言うとその方が望ましいかと思います。ただし、
「プライバシーマーク」
はサービス名なので、この場合は、
「JIS Q 15001 準拠」としか宣言できないかと思います。
というわけで、こちら
にもちょっと書いてますが、個人的には、
というように“自社の状況に応じて”変わってくるのではないかと思います。
決して受託系企業だからと言って、
プライバシーマーク取ってはいけないということではありません。
どの会社でも、「社員情報」や「採用情報」の取り扱いがあると思いますので、
それだけでもプライバシーマークを取得するメリットはあるかと思われます。
もちろん B2C 事業者の方も ISMS 認証を取ってはいけないということもなく、
自社の状況に照らし合わせて選択すればいいかと思います。
安全管理 に関して、
ISMS 認証基準
や JIS X 5080
の視点で行うことは、クロスチェックという意味でも十分有益だと思います。
|