本文へジャンプ メニューへジャンプ

Fujitsu The Possibilities are Infinite

Japan

ホーム

印刷用

 

ここから本文です

第9回 ISMS

「プライバシーマーク」と「ISMS」は、対象が個人情報に限定したものか、情報全般に渡るかの違いはありますが、同じ情報セキュリティに関するマネジメントシステムです。両者の違いを理解し、自社の状況に当てはめて、「プライバシーマーク」か「ISMS」か、あるいは両方を必要とするかを判断すべきでしょう。

ISMSの背景

情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として、昭和56年7月20日通商産業省告示342号による「情報システム安全対策実施事業所認定制度」(以下、安対制度という)がありました。
技術的対策だけでなく人的セキュリティ対策を含む組織全体のマネジメントを確立する必要性が高まったことによって、安対制度は平成13年3月31日付けで廃止されました。
この安対制度の廃止に伴って、技術的なセキュリティのほかに、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度にすべく、情報セキュリティマネジメントシステム(Information Security Management System:以下、ISMSという)適合性評価制度が創設されました。
「プライバシーマーク制度」を運用している財団法人日本情報処理開発協会(JIPDEC)が「ISMS制度」を運用しています。審査登録機関は14機関(2004年7月30日現在)、認証取得事業者は483社(2004年8月10日現在)。

「ISMS制度」と「プライバシーマーク制度」の違い

プライバシーマーク制度は、もともとが「個人情報の持ち主(=情報主体)のプライバシー権を保護する」という思想からスタートしています。ここで言うプライバシー権とは、自分の情報を自らコントロールできる権利のことを意味しています。
情報化が進んだ現代では、まず自分の情報を誰にも知られずに秘めておくということはまず不可能です。
逆に自分の情報をある程度提供することで享受できる有益なサービスもたくさん存在します。そのような現状を踏まえ、情報主体は本人の意思で個人情報を提供し、なおかつその個人情報を自らコントロールできることが情報化社会におけるプライバシー権のあるべき姿だという考えがあります。
そのためプライバシーマーク制度では、組織は個人情報を収集、利用、破棄するというライフサイクルを定義し、情報主体の合意を受けながら運用していくということになります。
一方ISMSは、組織が保有する情報資産について、どのような脅威が存在し、どのようなぜい弱性によってその脅威が強まるのかを認識し、その脅威が発生する頻度などを考慮に入れてリスクを算出し、リスクを軽減するような対策を講じていくのが目的です。つまり、ISMSは自社を守るためのマネジメントフレームワークであり、顧客の保護は自社の保護の延長上にあるという考え方です。

「個人情報」に限定して、違いをみてみます。

1.アピールする対象

プライバシーマークは、情報主体本人とのやりとりが多い「BtoC」事業者向け。一方、「ISMS」はどちらかと言うと、委託や預託など「BtoB (同一企業内やグループ間も含む) 」が対象であるといわれています。
しかし、企業にとってみれば、個人情報であろうがなかろうが、「お客様(委託元・発注元)から預かった大切なデータ」であることに変りがありません。
社内での作業でないために、目が行き届かない、セキュリティレベルが自社より高いとは限らない、自社以外の物件もあり、搬入などで同業他社が立ち入ることもあり得る・・・など心配しだしたらキリがありません。委託すること自体がリスクであるといえるかもしれません。

2. 申請範囲の違い

「ISMS制度」では委託をする場合には、事業者全体ではなく、工場や支店単位での申請を認めています。
一方、「プライバシーマーク制度」では、「事業者」や「代表者」という記述があるためでしょうが、基本的に消費者に対して誤解がないように「全社単位」を原則としています。

3. セキュリティ対策のアプローチの違い

「ISMS制度」では、委託先の部署、支店、工場単位での取得が可能になるので、受託系企業に向いているといえそうです。

これに対し、「プライバシーマーク制度」では、「個人情報のリスクに応じて...」と表現しているように、個人情報の収集(取得)から保管・利用、提供、委託や、返却、輸送、破棄などのライフサイクルに対応した業務フロー的なアプローチが必要になります。

4. 取り消し措置

「ISMS制度」でも、マークの不正利用に関しては取り消し措置があります。「プライバシーマーク制度」では、それ以外に開示・訂正・削除に応じないとか、漏えい・紛失等により、第三者に目的外利用されてしまう等、情報主体(本人)に不利益を起こした際には、最悪の場合、マーク利用が取り消され、2年間再申請できなくなります。取消措置を受ければ事業者に致命的な結果になるかもしれません。
同じ情報セキュリティに関するマネジメントシステムでありながら、プライバシーマークの方は、仕組みの確立だけでなく、認定後のパフォーマンスをも求めている点が大きく違っています。

「プライバシーマーク」か「ISMS」か

自社の現状把握をすれば、受託以外の個人情報を取り扱う割合などによって、プライバシーマークかISMSかが自ずと決まるはずです。事業によっては両方必要になるかもしれませんが、その場合でもどちらを主にするかを決めないといけないでしょう。

【情報】
財団法人日本情報処理開発協会 ISMS(情報セキュリティマネジメントシステム)適合性評価制度の運用
http://www.isms.jipdec.jp/

中小企業診断士 阿部 将美
[2005年1月19日 掲載]

ページの先頭へ

製品・サービスのご紹介

関連記事

ジャーナル最新のテーマ

今月のテーマ ユビキタス ビジネス現場を革新するユビキタスソリューション 最適な端末/ネットワーク/サービスをご提供 続きを読む

今月のアンケート 集計結果は9月9日から毎週公開 Q:ノートパソコンや携帯電話などモバイル端末を業務で使っていますか? 回答する

お客様の声をお聞かせください

富士通ジャーナルに掲載している記事やコンテンツについてのご意見・ご感想を、ぜひお寄せください。

ご意見・ご感想フォーム いただいた、お客様の声

お寄せいただいたご意見・ご感想については、富士通からの回答をお約束するものではありません。ご了承ください。
なお、富士通からのご回答を必要とするお問い合わせについては、
富士通ジャーナルに関するお問い合わせをご利用ください。


ここから関連メニューです

富士通ジャーナル(冊子)

2008年9月号
最先端のネットワーク技術とモバイル端末の開発で進化するユビキタスソリューション

ここからサイト内共通メニューです

Copyright FUJITSU

ページの終わりです