各種制度のうち、情報セキュリティ関連制度と個人情報保護関連制度を比較すると以下2点の図のようになる。
図1■情報セキュリティの制度と個人情報保護の制度の違い
図2■情報セキュリティの制度と個人情報保護の制度における取得単位の違い
個人情報保護は、取得、安全管理、第三者提供、開示対応・苦情対応までがその範囲となる。個人情報保護に焦点を当てたプライバシーマーク、WebTrust for Privacy、TRUSTeは、正にそれらをカバーする。一方情報セキュリティの制度は、安全管理などの一部分のみを守備範囲とする。したがって、システム的に個人情報を保護するには、それぞれのフェーズにあった対策が必要となる。
各種制度をどのような場面に応じて使い分けていけばよいのかについて、簡単なニーズ別の制度利用例をまとめてみた。
制度利用者のニーズ
制度の利用例
個人情報保護法ガイドラインの安全管理措置部分に従った運用をしていることを当社の利害関係者(取引先、顧客、行政機関など)に示したい。
個人情報保護法ガイドラインの安全管理措置部分を判断基準にした保証型情報セキュリティ監査を実施
当社が必要としている情報セキュリティ対策を委託先が行っていることを確認したい。
契約書、委託元の情報セキュリティ関連規程等を判断基準とした保証型又は助言型情報セキュリティ監査、Trustサービス監査
JISQ15001に従った個人情報の取扱を行っていることを当社の利害関係者に示したい。
プライバシーマークの取得
インターネットバンク、インターネット証券など、本人の財産、プライバシーに深くかかわる事業をネット上で行っているため、個人情報の取扱いや情報セキュリティが適切であることを顧客に示したい。
Trustサービス監査、情報セキュリティ管理基準のコントロールレベルを示した上で保証型情報セキュリティ監査を実施
当社のホームページが個人情報の取扱いに配慮していることを利害関係者に示したい。
プライバシーマークの取得、Trustサービス監査、TRUSTe
適切なセキュリティ対策を実施していることを当社の利害関係者に示したい
情報セキュリティ管理基準のコントロールレベルを示した上で保証型情報セキュリティ監査を実施
情報セキュリティマネジメントがISMS評価基準に従って整備・運用されていることを利害関係者に示したい。
ISMSの認証取得
個人情報保護法ガイドラインの安全管理措置部分に従った運用をするために現在不備な対策を確認したい。
個人情報保護法ガイドラインの安全管理措置部分を判断基準にした助言型情報セキュリティ監査を実施
ISMSの認証取得のために必要なセキュリティマネジメントやセキュリティ対策が行われているかを確認したい
ISMS評価基準を判断基準にした助言型情報セキュリティ監査を実施
ISMSやプライバシーマークの取得又は維持のための内部監査の実施をしたい
情報セキュリティ監査を実施
次回は、今回紹介した制度のうちプライバシーマーク制度について、今後の動きもあわせて解説していきます。
丸山満彦(監査法人トーマツ)
公認会計士 シニアマネジャー。1992年監査法人トーマツ入社。1998年より2000年にアメリカ合衆国のDeloitte & Touche LLPデトロイト事務所に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティ対策推進室兼務。
Copyright © ITmedia, Inc. All Rights Reserved.