最終回 認証制度を活用して企業をアピールする：企業がとるべき、個人情報保護対策（2/2 ページ）

[佐藤隆，ITmedia]

　認証制度は客観的に企業を審査し、マークの利用も行えるため対外的に広くアピールできる。しかし、これらの認証はあくまでも、制度が定めた基準をクリアしたことを示すものである。そのため、認証を取得した企業のセキュリティ対策の文書を取り寄せて比較すると、大きな差があることが分かる。あるデータセンターでは、認証取得時から計画していたセキュリティ対策をすべて導入して運用している。

　その一方で昨年認証取得をした企業は、セキュリティ対策の運用までは行えず、いまだに計画段階であった。それでも、両社は認証取得したことを取引先に対してアピールしている。

　また、認証取得を検討する企業は、金銭的に余裕があるために、認証取得支援をうたった悪質なコンサルタントにつけ込まれやすい。4カ月で十分なものを、半年以上も認証取得の準備に費やし、高いコンサルティング費用を払ってしまった企業もある。

　さらに、認証取得をした後でも企業は安心できない。万が一、個人情報が漏えいした場合、顧客の期待を裏切ることになり、企業のマイナス要素になるからだ。実際にあるコンビニエンスストアから個人情報が漏えいした事件では、企業はしっかりと認証を取得していた。にもかかわらず情報が漏えいしたのである。残念ながら、当事者である企業、審査した審査登録機関から詳細は公表されなかった。もし公表されれば、初の認証取得取り消しに発展する可能性があった。このような点を考慮して、どの認証制度を選ぶべきか検討する必要がある。

　また、視点を変えて、認証を取得しない方法で個人情報の安全性を確保する方法もある。例えば、情報セキュリティ監査制度のように、必要に応じて監査を依頼し、監査報告書を顧客に提示すれば、個人情報の保護が確立されていることを客観的に証明することができる。大手企業がASP（アプリケーション・サービス・プロバイダ）を選択する時に、情報セキュリティ監査が使われることがある。

表1●認証制度（Pマーク、ISMS）と情報セキュリティ監査制度の比較

プライバシーマーク制度 ISMS適合性評価制度 情報セキュリティ監査 認証制度 ○（審査指定機関：4機関） ○（審査登録機関：18機関） ×（情報セキュリティ監査台帳に登録） 審査または監査日数の明確性 ○（公開） ○（公開） △（監査企業によってバラバラ） 審査内容の機密性 ○ ○ ○ 基準の公開性 ○ ○ ○（但し企業ごとに別途基準を作成する） 更新間隔 2年 3年 特になし 国際性 BBBOnlineとの相互承認 BS7799とほぼ同じ（BS7799は一部がISO化） なし

認証基準をよく調べること

　認証を取得する際には、どのような点に注意すればよいのだろうか。まず、プライバシーマーク制度では、JIS Q15001が基準として使われている。同基準はプライバシーマーク制度のホームページからリンクし閲覧することができる。ただし、閲覧のみに制限されている。無理に印刷すると真っ黒になるので、印刷して手元に置きたい場合は、下記URLにもJIS Q 15001が置かれている。こちらは印刷可能な状態で公開されているのでお勧めだ。また印刷可能なISMS認証基準のURLも記しておくので参考にしていただきたい。

参考サイト
・個人情報保護に関するコンプライアンス・プログラムの要求事項／内閣官房内閣広報室（印刷可能）
・ISMS認証基準(Ver.2.0)／財団法人日本情報処理開発協会

　プライバシーマーク制度、ISMS適合性評価制度を個人情報保護法の観点から比較すると、第31条にある「個人情報に関する苦情対応」についてプライバシーマーク制度では明確に要求しているが、ISMS認証基準には存在しない。また、21条の従業員への監督については、ISMSの方が明確であることがわかる。認証を取得する場合、費用で判断しがちだが、認証基準をきちんと調べ自社に有益となる制度を選ぶようにしたい。

参考サイト
・ISMS適合性評価制度／財団法人日本情報処理開発協会
・プライバシーマーク制度／財団法人日本情報処理開発協会　プライバシーマーク事務局
・情報セキュリティ監査台帳／経済産業省

認証マークの運用における注意点

　認証取得を行えば、各認証マーク（Pマーク、ISMS認定マーク）を使用することができる。ただし、利用に際していくつかの制限がある。例えば、製品にマークを使用することは許可されていない。なぜなら、認証制度は製品を保証するものではないからで、誤った運用を続けた場合、回収や取り消しになる場合がある。

　マークの誤使用は、取引先より認証取得した競合企業が登録機関に指摘して発覚することが多い。一般に、認証マークは、名刺、パンフレット、ホームページ、プレゼンテーション資料に使われることが多いので、注意した方がよいだろう。

　以上のポイントを踏まえ、個人情報保護対策をしっかりと行い、対外的に効果的なアピールをしていただきたい。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。