*

ISMS for Privacy(ISMS-P) ・個人情報保護のための情報セキュリティマネジメントシステム認証取得支援コンサルティング

タテックス有限会社
HOME
サービス
Q&A
会社概要
お問合わせ
ISO14001
ISO27001
ISO27001:2013
ISMS-P
ISO20000
ISO22000
統合MS
ISO運用代行
自己適合宣言
OHSAS18001
プライバシーマーク
経営品質
サービスのフロー
内部監査員研修
Q&A
会社概要
指導実績
事例
お客様の声
企業再生
採用情報
お問合わせ
関連リンク
相互リンク
リンクモスト
簡単相互link
サイトマップ

ISMS for Privacy(ISMS-P) とは

ISMS for Privacy は、ISMS(ISO/IEC27001に基づいた情報セキュリティマネジメントシステム)をベースにして個人情報保護マネジメントシステム(PMS)も実現する手法です。
これまで個人情報保護といえばJIS Q 15001をベースにしたプライバシーマーク制度で行われていました。ISMSを個人情報のために有効に適用する方法は、確立されていませんでした。
ISMS for Privacy は特定非営利活動法人 統制技術研究機構(略称GTO)が開発したISMSの活用技法です。タテックス有限会社ではこのGTOに認定された品質のコンサルティングを提供しております。


情報セキュリティに必要なものは何か

情報セキュリティについて、ISO/IEC27002では「事業継綾を確実にすること、事業リスクを最小限にすること、並びに投資に対する見返り及び事業機会を最大限にすることを目的として、情報セキュリティは、広範囲にわたる脅威から情報を保護する。」、「その組織の事業リスク全般に対する考慮のもとで、組織の情報セキュリティリスクを運営管理するための管理策を導入し、運用する。」と紹介されています。

この2つの文章から情報セキュリティとは、事業を継続し、事業リスクを低減し、事業機会を最大にするものでなければならないと解釈できます。
つまり、情報セキュリティマネジメントは事業に直結したリスクマネジメントでなければなりません。そして事業リスク全般を考慮した取り組みでなければならないのです。

事業リスクを考えた場合、情報セキュリティは最優先事項でないかもしれません。事業リスク全般の中で情報の重要性に見合った管理策の適用、リソースの投入でなければなりません。個人情報についても同様であるべきことは言うまでもありません。

事業の継続性が高まり、事業リスクが低減され、事業機会を最大にするためのマネジメントになるような個人情報の管理であるべきで、そのためにはどうマネジメントシステムを構築すべきなのかを考える必要があるという問題提起です。

一方、現状のわが国の実態はどうでしょうか。プライバシーマーク制度はかつて個人情報保護のコンプライアンスプログラムと称しておりました。名称をマネジメントシステムと変えた今でも法令順守を絶対なものとしています。

PMS構築のガイドライン(指針)が、あたかも必須の要求事項のように解釈され、ひとつ一つしらみつぶしに要求事項を押し付けております。適用外の要求事項までルール化を求めるなど、事業の足かせになる仕組みを平気で求め、現実を知ろうとしない審査に明け暮れております。

確かに個人の権利を尊重する倫理観は必要です。法令違反を犯さない、起こしにくい環境整備も必要です。 しかし、事業への影響が無いところへの管理策の適用は、おのずと守らなくなり、守らなくても良いルールの存在が、ルール全体の形骸化を招いていきます。

現実的でない無理なルールを適用すれば、どうでも良いことに過剰なエネルギーを注ぎ、事業リスク全般への対応のバランスを壊す危険性はかなりあります。個人情報の行き過ぎた管理の問題点は良く指摘されているところです。

こうしたわが国の現状を変革し、本来の情報セキュリティを実現させたい。当社がISMS for Privacy のサービス提供する理由です。
本来の情報セキュリティを実現していくには、情報セキュリティに余計な仕掛けを作らないことです。最低限何を整えなければならないかを知ったコンサルティングを提供し、現実的なシステムを構築することで、事業に直結したリスクマネジメントを構築する必要があります。
当社はISMS for Privacy を使ってそのためのアプローチを、最適システムを提供しています。


ISMS for Privacy の認証とは

ISMS for Privacy は、JIPDEC、JAB、UKAS、JASANZなどのIAF登録機関から認定された認証機関が提供するISMS認証が、ISMS for Prjvacy の考えに基づいて個人情報を対象にマネジメントしていることを第三者に別途証明するものです。認証機関は、特定非営利活動法人統制技術研究機構の趣旨に賛同頂いた機関に限られます。現在のところ外資系4機関です。

ISMS for Privacy の認証の特徴

1. 審査員の認定とコンサルタントの認定による質の安定したコントロールをしています。
ISMS for Privacy の認証審査員は、各機関から選抜されたISMSの審査員を対象に、特定非営利活動法人統制技術研究機構のトレーニングを施し、ISMS for Privacy のアプローチを理解し実践できる審査員のみを認めることで、審査品質にバラツキ或いは、低下が生じないようコントロールされています。また、コンサルタントについても、同様にトレーニングを施し、要員の認定による差別化を図っています。
2. 審査プロセスの監視をしています。
審査プロセスについては、特定非営利活動法人統制技術研究機構が、客観的に"質"を監視し、各機関代表からなる諮問委員会で"質”の向上を図ることで、プライベート認証のように御手盛りで、疑わしい認証にならないよう管理されています。

プライバシーマークとISMS for Privacyの比較

1.根拠基準
【Pマーク】JIS Q 15001=日本国内のみの基準
【ISMS-P】ISO/IEC27001の要求、既存のISO/IEC27001認証制度はそのまま手を加えず、個人情報保護のマネジメントに必要な要素としてJIS Q 15001との統合を定義したもの。国際的な基準で認証取得
2.総括
【Pマーク】ネーミングの分かりやすさから B2C企業に適する
【ISMS-P】B2B(同一企業内やグループ間も含む)企業にのみならずB2C企業にも適用できる
3.認証単位
【Pマーク】全社で取得が原則
【ISMS-P】工場・支店や部門単位での取得可
4.対象情報
【Pマーク】個人情報(顧客、社員情報を含む)
【ISMS-P】認証範囲の個人情報を含む重要な情報
5.ペナルティ
【Pマーク】認定の停止、社名をインターネットで2年間公開
【ISMS-P】認証の停止
6.認証(審査)機関
【Pマーク】JIPDEC(一部例外あり)
【ISMS-P】GTOに認定された認証機関のみ
7.審査員
【Pマーク】JIPDEC職員(一部例外あり)
【ISMS-P】GTO研修で選別・認定された審査員のみ
8.コンサルタント
【Pマーク】任意
【ISMS-P】GTO研修で選別・認定されたコンサルタントのみ
9.アプローチ
【Pマーク】個人情報の収集(取得)から保管・利用、提供、委託や、返却、輸送、破棄などの“ライフサイクル”に対応した“業務フロー的なアプローチ
【ISMS-P】まず、適用範囲を定め、その範囲の重要情報(個人情報を含む)を洗い出すリスクマネジメントのアプローチ
10.構築手順
【Pマーク】“合理的な安全対策”を要求しているが、審査員のバラツキがあり不明確で、要求がエスカレーションする傾向がある
【ISMS-P】体系的なISO/IEC27001管理策のフレームをベースにJISQ15001の管理策を加える
11.構築費用
【Pマーク】会社単位での取得が原則のため会社規模が大きくなれば費用負担が大きい
【ISMS-P】適用範囲を絞り込み安価に構築が可能
12.審査費用
【Pマーク】事業の規模の大小に関わらず、30万円、60万円、120万円の3段階であるため、審査費用は安価
【ISMS-P】事業規模に応じた審査工数が適用されるため、50名を超えたあたりから割高感あり
13.運用費用
【Pマーク】2年間審査訪問が無く表面に出る維持費用は小さいように見える。しかし、審査での指摘は、事業上の重要性に関わらず一律に管理策の適用が求められるため、効率性を阻害するなどの事業上の悪影響は計り知れない。その為、取得後2年間システム運用をしていないで更新を辞める事例や、更新審査時に、初回と同様の費用を掛け再整備する事例もある。
【ISMS-P】年に少なくとも1回の定期審査があり、また3年毎に更新審査があるため、毎年継続的に費用が発生する。 指摘事項は、事業上の保護の要求に見合った指摘であるため、事業上の悪影響は少ない。

ISMS for Privacy 構築の違い−4つのパターン

パターン1
ISMS for Privacy をゼロから構築する場合。他のしがらみがないので効率的に進められます。ISO9001、ISO14001などのシステムとの統合マネジメントシステムにすることも可能です。ご相談ください。
パターン2
既にISMSを構築済みの組織が ISMS for Privacy を導入し、保護すべき情報の範囲を個人情報に広げる場合
ISMS⇒ISMS-P
パターン3
Pマ一クを取得している組織がISMS for Privacy を導入し、ISO/IEC27001べ一スのフレームワークを構築する場合
PMS⇒ISMS-P
パターン4
既にISMS構築済みでかつ Pマークも取得しているが取り組みが一体化していないためISMS for Privacy を用いて改善する場合
ISMS for Privacy の構築は各パターンに応じて、既に出来ている部分とこれから構築する部分との融合を、事業の継続性、事業リスクの低減、事業機会の最大化を意識し、最適な方法を選択いたします。詳細は当社までご相談ください。

ニーズで選べる支援内容

実績豊富なISOコンサルタント陣がISO取得に必要な工数をお客様のニーズで選べます。お問合わせください。
また、既にシステム運用をしていて、改善したいのだが。。。といった改善のご相談もお気軽にお問合わせください。


ISO27001特別レポートを無料公開!

実績豊富なISOコンサルタント陣がISO9001、ISO14001、Pマーク取得ノウハウをご提供。ISO担当者だけでなく経営者も必見の情報です。まずは最新の無料レポートをご覧下さい。
ISO27001,ISMS-P,ISO14001,ISO9001,Pマーク取得に関するお悩み・ご相談を無料メール相談でお受けします。専門家のアドバイスを受けたい方、まずはこの無料サービスをご利用下さい。


Copyright © 2005-2015 TATECS , All Rights Reserved.