|
プライバシーマークとISO27001(ISMS)のどちらを取得したら良いでしょうか?
お客様からのこのようなご相談をいただく機会が多くございます。基本的には情報セキュリティに関するマネジメントシステムではありますが、対象となる情報の範囲や、取得できる単位(全社取得か部署単位の取得か)といった部分で大きく異なります。
ISMSはBS7799(British Standard=英国規格)をベースにしたものですが、ISO27001としてISO化されました。そのような意味で今後はプライバシーマークよりもISO27001(ISMS)が注目を集めるものと予想されます。
|
ISMS(ISO27001) |
プライバシーマーク |
| 共通 |
組織内のセキュリティ保護のインフラ整備や従業員への教育、(内部)監査、経営者レビューなどがあり、PDCAのマネジメントサイクルを回すことにより、セキュリティを向上させる活動を行わなければならない |
| 適用範囲 |
組織の必要に応じて、適用範囲を決定することができます |
全社的な取組みが基本となります |
| 保護の対象 |
組織が保護すべき情報資産を識別し、セキュリティ対策を実施します |
組織が取扱う個人情報を特定し、個人情報の保護対策を実施します |
| 管理範囲 |
組織の事業活動全般及びリスク全般を考慮し、事業上の要求事項、法的又は規制要求事項に対するリスクアセスメントによりセキュリティ対策(管理策)を実施します |
個人情報の保護は、安全管理策を実施するだけでなく、管理する個人情報について情報主体の権利に対応することも含まれます。即ち、情報収集時には事前に利用目的等を伝えた上で本人の同意をとることが必要であり、収集後も本人からの修正・削除などの要望に応じる等の必要があります |
| 規格と作成文書 |
ISMS認証基準Ver.2.0(下記URL参照)の要求事項に従い、組織のリスクアセスメントに基づいてISMS文書を作成します |
JISQ15001 個人情報保護に関するコンプライアンス・プログラム(CP)の要求事項に従って、事業者がCP |
| 構築の際の配慮事項 |
組織の事業継続や、運用コストも配慮した総合的な観点でセキュリティ対策の取組みがされているかが重要なポイントとなります |
個人情報の安全管理策を構築することに加えて、情報主体の権利に対する要求への管理策が必要となります。また、個人が対象となるために、苦情処理窓口を準備して対応するなど消費者保護の側面を考慮する必要があります |
| URL |
http://www.isms.jipdec.jp/v2/v2.html |
http://privacymark.jp/ref/jisq15001.pdf |
| 引用・参考文献 |
財団法人 日本情報処理開発協会(JIPDEC) |
プライバシーマーク 98万円 / ISO27001( ISMS ) 198万円 / TRUSTe 39.8万円。
中小規模事業者様向けに低価格・短期間の取得をご支援いたします。WorksTrust Inc.
|
