第1回 情報セキュリティを取り巻く各種制度：対策に最適な制度を活用する（2/4 ページ）

[丸山満彦（監査法人トーマツ），ITmedia]

　今回のシリーズで主に説明していく制度は、プライバシーマーク制度、ISMS適合性評価制度、情報セキュリティ監査制度、システム監査制度である。それらと類似の制度についても簡単に紹介したい。まずこれらの制度の概要を紹介しよう。

●個人情報保護関連

1.プライバシーマーク制度

　プライバシーマーク制度は、日本標準規格 JIS Q 15001:1999の要求事項に適合して、個人情報保護に関するコンプライアンス・プログラム（マネジメントシステム）が整備、運用されていることを第三者機関が審査し、保証する制度だ。略して「Pマーク」と呼ばれることも多い。

　現在、第三者機関としては、プライバシーマーク付与機関である「財団法人日本情報処理開発協会（JIPDEC）」と指定機関（現在、4団体）がある。本制度は1998年より開始されJIPDECが中心となって運営している。2005年1月12日現在、1036事業者がプライバシーマークの認定を取得している。

詳細サイト
財団法人日本情報処理開発協会 プライバシーマーク事務局

2.個人情報保護マーク制度

　「財団法人日本データ通信協会」では、「個人情報保護登録センター」を設置し、電気通信事業者および発信者情報通知サービスの事業者を対象に審査を行い、適正な個人情報保護を講じている事業者の登録を行っている。その登録を証明するマークが「個人情報保護マーク」だ。

　事業者が個人情報を取り扱う業務の目的、個人情報の取り扱いの概要、収集先、提供先、個人情報保護措置の概要を登録センターに提出し、「（財）日本データ通信協会」に設置された「個人情報取扱業務登録審査委員会」が審査、登録する。本制度は1998年から開始され、2004年12月26日現在、29の事業者がマークの交付を受けている。

※2005年9月末をもって個人情報保護マーク制度は終了になっています。

詳細サイト
財団法人日本データ通信協会

3.TRUSTeシール制度

　TRUSTeシール制度は、米国の非営利団体TRUSTe（1997年設立）が行っているWebサイトのプライバシー保護プログラムだ。TRUSTeはWebサイトで収集する個人情報をどのように取り扱うかを審査し、利用者に公表することで信頼できるWebサイト環境を構築するプログラムである。このプログラムはドメイン単位でのシール制度であり、会社や組織のマネジメント体制を保証しているものではない。この点がプライバシーマーク制度、ISMS適合性評価制度と異なる点となる。

　また、この制度は、日本でも2001年から開始されている。ただし、米国のTRUSTeと日本のTRUSTeはライセンス主体が異なるため、日本で認証されたサイトの場合、米国・欧州での認証には、別途ライセンス料金が発生するため注意が必要だ。米国のTRUSTeは2004年9月15日現在1458サイト、日本のTRUSTeは2004年12月1日現在で291サイトがシールを取得している。

詳細サイト
TRUSTe
NPO日本技術者連盟

●情報セキュリティ関連

1.ISMS適合性評価制度

　ISMS適合性評価制度は、組織の情報セキュリティマネジメント（ISMS）が、ISMS評価基準に適合して整備、運用されているかを独立した第三者である審査登録機関が審査し、適合を保証する制度である。JIPDECが中心となって制度を運営している。品質マネジメントシステム認証の情報セキュリティマネジメント版と考えてよい。

　2001年3月にデータセンターなどに対する安全対策実施事業所認定制度が廃止されたのを受け、その後継制度として、英国のISMS認証制度であるBS7799-2認証制度を模して開始された制度である。2004年12月27日現在、589事業者がISMSの認証を取得している。なお、BS7799-2の認証を受けている事業所は2004年12月23日現在、全世界で1004事業所であり、うち日本は465事業所となっている（ISMS International User Groupのサイトより）。

詳細サイト
ISMS適合性評価制度

2.インターネット接続サービス安全・安心マーク制度

　インターネット接続事業者のユーザ対策やセキュリティ対策などが、一定基準以上であることを保証する制度。「社団法人日本インターネットプロバイダー協会（JAIPA）」「社団法人テレコムサービス協会」と「社団法人電気通信事業者協会」が中心となり制度を運営している。

　審査については「インターネット接続サービス安全・安心マーク推進協議会」が行っている。審査にはセキュリティツールによる診断を事業者自らが実施し、その結果を審査依頼時に提出しなければならないなど、技術的なセキュリティ対策についても一定以上の対策の実施が求められる。また、2004年12月に認定基準に個人情報の取り扱いに関する事項が追加された。2004年12月現在の登録事業者は77事業者となっている。

詳細サイト
インターネット接続サービス安全・安心マーク制度

●セキュリティ関連の監査