ISMS-P

ページ名:ISMS-P

*ISMS for Privacy (ISMS-P)

ISMS for Privacy は、ISMS(ISO/IEC27001に基づいた情報セキュリティマネジメントシステム)をベースにして個人情報保護マネジメントシステム(PMS)も実現する手法です。~
これまで個人情報保護といえばJISQ15001をベースにしたプライバシーマーク制度で行われていました。ISMSを個人情報のために有効に適用する方法は、確立されていませんでした。~
ISMS for Privacy は特定非営利活動法人 統制技術研究機構(略称GTO)が開発したISMSの活用技法です。タテックス有限会社ではこのGTOに認定された品質のコンサルティングを提供しております。 ~


*情報セキュリティに必要なものは何か

情報セキュリティについて、ISO/IEC27002では「事業継綾を確実にすること、事業リスクを最小限にすること、並びに投資に対する見返り及び事業機会を最大限にすることを目的として、情報セキュリティは、広範囲にわたる脅威から情報を保護する。」、「その組織の事業リスク全般に対する考慮のもとで、組織の情報セキュリティリスクを運営管理するための管理策を導入し、運用する。」と紹介されています。~

この2つの文章から情報セキュリティとは、事業を継続し、事業リスクを低減し、事業機会を最大にするものでなければならないと解釈できます。~
つまり、情報セキュリティマネジメントは事業に直結したリスクマネジメントでなければなりません。そして事業リスク全般を考慮した取り組みでなければならないのです。~

事業リスクを考えた場合、情報セキュリティは最優先事項でないかもしれません。事業リスク全般の中で情報の重要性に見合った管理策の適用、リソースの投入でなければなりません。個人情報についても同様であるべきことは言うまでもありません。~

事業の継続性が高まり、事業リスクが低減され、事業機会を最大にするためのマネジメントになるような個人情報の管理であるべきで、そのためにはどうマネジメントシステムを構築すべきなのかを考える必要があるという問題提起です。~

一方、現状のわが国の実態はどうでしょうか。プライバシーマーク制度はかつて個人情報保護のコンプライアンスプログラムと称しておりました。名称をマネジメントシステムと変えた今でも法令順守を絶対なものとしています。~

PMS構築のガイドライン(指針)が、あたかも必須の要求事項のように解釈され、ひとつ一つしらみつぶしに要求事項を押し付けております。適用外の要求事項までルール化を求めるなど、事業の足かせになる仕組みを平気で求め、現実を知ろうとしない審査に明け暮れております。~

確かに個人の権利を尊重する倫理観は必要です。法令違反を犯さない、起こしにくい環境整備も必要です。~
しかし、事業への影響が無いところへの管理策の適用は、おのずと守らなくなり、守らなくても良いルールの存在が、ルール全体の形骸化を招いていきます。~

現実的でない無理なルールを適用すれば、どうでも良いことに過剰なエネルギーを注ぎ、事業リスク全般への対応のバランスを壊す危険性はかなりあります。個人情報の行き過ぎた管理の問題点は良く指摘されているところです。~

こうしたわが国の現状を変革し、本来の情報セキュリティを実現させたい。当社がISMS for Privacy のサービス提供する理由です。~
本来の情報セキュリティを実現していくには、情報セキュリティに余計な仕掛けを作らないことです。最低限何を整えなければならないかを知ったコンサルティングを提供し、現実的なシステムを構築することで、事業に直結したリスクマネジメントを構築する必要があります。~
当社はISMS for Privacy を使ってそのためのアプローチを、最適システムを提供しています。~

*ISMS for Privacy の認証とは
ISMS for Privacy は、JIPDEC、JAB、UKAS、JASANZなどのIAF登録機関から認定された認証機関が提供するISMS認証が、ISMS for Prjvacy の考えに基づいて個人情報を対象にマネジメントしていることを第三者に別途証明するものです。
認証機関は、特定非営利活動法人統制技術研究機構の趣旨に賛同頂いた機関に限られます。現在のところ外資系4機関です。

*ISMS for Privacy の認証の特徴
***審査員の認定とコンサルタントの認定による質の安定したコントロールをしています。
ISMS for Privacy の認証審査員は、各機関から選抜されたISMSの審査員を対象に、特定非営利活動法人統制技術研究機構のトレーニングを施し、ISMS for Privacy のアプローチを理解し実践できる審査員のみを認めることで、審査品質にバラツキ或いは、低下が生じないようコントロールされています。また、コンサルタントについても、同様にトレーニングを施し、要員の認定による差別化を図っています。

***審査プロセスの監視をしています。
審査プロセスについては、特定非営利活動法人統制技術研究機構が、客観的に"質"を監視し、各機関代表からなる諮問委員会で"質”の向上を図ることで、プライベート認証のように御手盛りで、疑わしい認証にならないよう管理されています。

 

*プライバシーマークとISMS for Privacyの比較
~
|RIGHT:|BGCOLOR(#FFFF99):CENTER:ISMS for Privacy|BGCOLOR(#FFFF99):CENTER:プライバシーマーク|
|LEFT:根拠基準|LEFT:ISO/IEC27001の要求、既存のISO/IEC27001認証制度はそのまま手を加えず、個人情報保護のマネジメントに必要な要素としてJIS Q 15001との統合を定義したもの。国際的な基準で認証取得|LEFT:JIS Q 15001=日本国内のみの基準|
|BGCOLOR(#CCFFFF):LEFT:総括|BGCOLOR(#CCFFFF):LEFT:B2B(同一企業内やグループ間も含む)企業にのみならずB2C企業にも適用できる|BGCOLOR(#CCFFFF):LEFT:ネーミングの分かりやすさから B2C企業に適する|
|LEFT:認証単位|LEFT:工場・支店や部門単位での取得可|LEFT:全社で取得が原則|
|BGCOLOR(#CCFFFF):LEFT:対象情報|BGCOLOR(#CCFFFF):LEFT:認証範囲の個人情報を含む重要な情報|BGCOLOR(#CCFFFF):LEFT:個人情報(顧客、社員情報を含む)|
|LEFT:ペナルティ|LEFT:認証の停止|LEFT:認定の停止、社名をインターネットで2年間公開|
|BGCOLOR(#CCFFFF):LEFT:審査機関|BGCOLOR(#CCFFFF):LEFT:GTOに認定された認証機関のみ|BGCOLOR(#CCFFFF):LEFT:JIPDEC(一部例外あり)|
|LEFT:審査員|LEFT:GTO研修で選別・認定された審査員のみ|LEFT:JIPDEC職員(一部例外あり)|
|BGCOLOR(#CCFFFF):LEFT:コンサルタント|BGCOLOR(#CCFFFF):LEFT:GTO研修で選別・認定されたコンサルタントのみ|BGCOLOR(#CCFFFF):LEFT:任意|
|LEFT:アプローチ|LEFT:まず、適用範囲を定め、その範囲の重要情報(個人情報を含む)を洗い出すリスクマネジメントのアプローチ|LEFT:個人情報の収集(取得)から保管・利用、提供、委託や、返却、輸送、破棄などの“ライフサイクル”に対応した“業務フロー的なアプローチ|
|BGCOLOR(#CCFFFF):LEFT:構築手順|BGCOLOR(#CCFFFF):LEFT:体系的なISO/IEC27001管理策のフレームをベースにJISQ15001の管理策を加える|BGCOLOR(#CCFFFF):LEFT:“合理的な安全対策”を要求しているが、審査員のバラツキがあり不明確で、要求がエスカレーションする傾向がある|
|LEFT:構築費用|LEFT:適用範囲を絞り込み安価に構築が可能。|LEFT:会社単位での取得が原則のため会社規模が大きくなれば費用負担が大きい|
|BGCOLOR(#CCFFFF):LEFT:審査費用|BGCOLOR(#CCFFFF):LEFT:事業規模に応じた審査工数が適用されるため、50名を超えたあたりから割高感あり|BGCOLOR(#CCFFFF):LEFT:事業の規模の大小に関わらず、30万円、60万円、120万円の3段階であるため、審査費用は安価|
|LEFT:運用費用|LEFT:年に少なくとも1回の定期審査があり、また3年毎に更新審査があるため、毎年継続的に費用が発生する。&br;指摘事項は、事業上の保護の要求に見合った指摘であるため、事業上の悪影響は少ない。|LEFT:2年間審査訪問が無く表面に出る維持費用は小さいように見える。しかし、審査での指摘は、事業上の重要性に関わらず一律に管理策の適用が求められるため、効率性を阻害するなどの事業上の悪影響は計り知れない。その為、取得後2年間システム運用をしていないで更新を辞める事例や、更新審査時に、初回と同様の費用を掛け再整備する事例もある。|
~
*ISMS for Privacy 構築の違い-4つのパターン


***パターン1
ISMS for Privacy をゼロから構築する場合。他のしがらみがないので効率的に進められます。ISO9001、ISO14001などのシステムとの統合マネジメントシステムにすることも可能です。ご相談ください。

***パターン2
既にISMSを構築済みの組織が ISMS for Privacy を導入し、保護すべき情報の範囲を個人情報に広げる場合 ISMS⇒ISMS-P

***パタ一ン3
Pマ一クを取得している組織がISMS for Privacy を導入し、ISO/IEC27001べ一スのフレームワークを構築する場合 PMS⇒ISMS-P

***パターン4
既にISMS構築済みでかつ Pマークも取得しているが取り組みが一体化していないためISMS for Privacy を用いて改善する場合

ISMS for Privacy の構築は各パターンに応じて、既に出来ている部分とこれから構築する部分との融合を、事業の継続性、事業リスクの低減、事業機会の最大化を意識し、最適な方法を選択いたします。詳細は当社までご相談ください。

~
~
*御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。

お問合せは、ここをクリック~
  ↓
|BGCOLOR(#CCFFFF):CENTER:''お問合せ''|
~
~
~
----
~
~
~
~
~

シェアボタン: このページをSNSに投稿するのに便利です。


最近更新されたページ

指導実績

タテックス有限会社 認証取得支援・保守支援・内部監査員研修実績  | サイトマップISO9001 実績板金加工・製缶業樹脂成型製造業電気部品物流会社樹脂中空成形加工業建築部品製造業機械加工業ビル・複合...

トップページ

ようこそタテックスへ ISOコンサルティングはTATECSいつもタテックスをご愛顧いただき、誠にありがとうございます。タテックス有限会社はコンサルティング会社です。このホームページではISO、経営コン...

ISO27001:2013とは

ISO27001 > ISO27001:2013とは > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO...

左メニュー

メニュートップページISO認証取得支援ISO27001ISO20000ISO14001ISO14001改善ISO9001ISO9001改善統合MS内部監査員研修内部監査代行財務診断自己適合宣言支援BS...

プライバシーマーク

プライバシーマークとは        | サイトマッププライバシーマークは、1998年より運用されている個人情報の保護体制に対する第三者認証制度です。個人情報保護体制の基準への適合性を評価し、一般財団...

お客様の声

お客様の声~ISO9001:2008移行、ISO9001+ISO14001定期審査対応 (H22.09)産廃収集運搬中間処理業 森様この度、ISO9001:2008への移行と、QMS・EMS複合審査を...

よくある質問

FAQ                      サイトマップこのページは、ISOマネジメントシステムのFAQ(Frequently Asked Questionよくある質問)を掲げています。認証取得...

JAのISO

農業協同組合のISO14001認証取得       | サイトマップ環境保全型農業の推進近年、農業分野においても環境保全型のシステムへの転換が課題となっている。~農業はこれまでは、自然保護的側面を有し...

ISO9001システム改善

ISO9001 > ISO9001-2015 > ISO9001-2015 要求事項 > ISO9001システム改善 > ISO9001新規認証取得支援コンサルティング > ISOシステム構築への取組...

ISO14001とは

ISO14001 > ISO14001-2015 > ISO14001改善 > 環境関連法規制 > 環境法規制・条例の最新情報、改正または制定の関連リンク > ISO14001用語集  |  サイトマ...

ISO27001

ISO27001 > ISO27001-2013 > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27...

IS020000-1:2011とは

ISO20000 > IS020000-1_2018 > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1:2011とは | サイトマップIS020000-1...

サービスサポートとは

ISO20000 > IS020000-1_2018 > サービスデリバリ > サービスサポートとは > データセンターの事例 > IS020000-1_2011  | サイトマップサービスサポートと...

サービスデリバリとは

ISO20000 > IS020000-1_2018 > サービスデリバリとは > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップサービスデリバリとは...

IS020000-1:2018とは

ISO20000 > IS020000-1:2018とは > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップIS020000-1...

ISO20000とは

ISO20000とは > IS020000-1_2018 > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップITサービスマネジメ...

サイトマップ

タテックス有限会社ホームページ  サイトマップ  sitemapトップページISO認証取得支援コンサルティング認証取得支援ISO9001  品質マネジメントシステムISO9001:2015 とはISO...

データセンターの事例

ISO20000 > IS020000-1_2018 > サービスデリバリ > サービスサポート > データセンターの事例 > IS020000-1_2011 | サイトマップデータセンターサービスを...