最終回 認証制度を活用して企業をアピールする:企業がとるべき、個人情報保護対策(2/2 ページ)
認証制度は客観的に企業を審査し、マークの利用も行えるため対外的に広くアピールできる。しかし、これらの認証はあくまでも、制度が定めた基準をクリアしたことを示すものである。そのため、認証を取得した企業のセキュリティ対策の文書を取り寄せて比較すると、大きな差があることが分かる。あるデータセンターでは、認証取得時から計画していたセキュリティ対策をすべて導入して運用している。
その一方で昨年認証取得をした企業は、セキュリティ対策の運用までは行えず、いまだに計画段階であった。それでも、両社は認証取得したことを取引先に対してアピールしている。
また、認証取得を検討する企業は、金銭的に余裕があるために、認証取得支援をうたった悪質なコンサルタントにつけ込まれやすい。4カ月で十分なものを、半年以上も認証取得の準備に費やし、高いコンサルティング費用を払ってしまった企業もある。
さらに、認証取得をした後でも企業は安心できない。万が一、個人情報が漏えいした場合、顧客の期待を裏切ることになり、企業のマイナス要素になるからだ。実際にあるコンビニエンスストアから個人情報が漏えいした事件では、企業はしっかりと認証を取得していた。にもかかわらず情報が漏えいしたのである。残念ながら、当事者である企業、審査した審査登録機関から詳細は公表されなかった。もし公表されれば、初の認証取得取り消しに発展する可能性があった。このような点を考慮して、どの認証制度を選ぶべきか検討する必要がある。
また、視点を変えて、認証を取得しない方法で個人情報の安全性を確保する方法もある。例えば、情報セキュリティ監査制度のように、必要に応じて監査を依頼し、監査報告書を顧客に提示すれば、個人情報の保護が確立されていることを客観的に証明することができる。大手企業がASP(アプリケーション・サービス・プロバイダ)を選択する時に、情報セキュリティ監査が使われることがある。
| プライバシーマーク制度 | ISMS適合性評価制度 | 情報セキュリティ監査 | |
|---|---|---|---|
| 認証制度 | ○(審査指定機関:4機関) | ○(審査登録機関:18機関) | ×(情報セキュリティ監査台帳に登録) |
| 審査または監査日数の明確性 | ○(公開) | ○(公開) | △(監査企業によってバラバラ) |
| 審査内容の機密性 | ○ | ○ | ○ |
| 基準の公開性 | ○ | ○ | ○(但し企業ごとに別途基準を作成する) |
| 更新間隔 | 2年 | 3年 | 特になし |
| 国際性 | BBBOnlineとの相互承認 | BS7799とほぼ同じ(BS7799は一部がISO化) | なし |
| 表1●認証制度(Pマーク、ISMS)と情報セキュリティ監査制度の比較 | |||
認証基準をよく調べること
認証を取得する際には、どのような点に注意すればよいのだろうか。まず、プライバシーマーク制度では、JIS Q15001が基準として使われている。同基準はプライバシーマーク制度のホームページからリンクし閲覧することができる。ただし、閲覧のみに制限されている。無理に印刷すると真っ黒になるので、印刷して手元に置きたい場合は、下記URLにもJIS Q 15001が置かれている。こちらは印刷可能な状態で公開されているのでお勧めだ。また印刷可能なISMS認証基準のURLも記しておくので参考にしていただきたい。
参考サイト
プライバシーマーク制度、ISMS適合性評価制度を個人情報保護法の観点から比較すると、第31条にある「個人情報に関する苦情対応」についてプライバシーマーク制度では明確に要求しているが、ISMS認証基準には存在しない。また、21条の従業員への監督については、ISMSの方が明確であることがわかる。認証を取得する場合、費用で判断しがちだが、認証基準をきちんと調べ自社に有益となる制度を選ぶようにしたい。
参考サイト
認証マークの運用における注意点
認証取得を行えば、各認証マーク(Pマーク、ISMS認定マーク)を使用することができる。ただし、利用に際していくつかの制限がある。例えば、製品にマークを使用することは許可されていない。なぜなら、認証制度は製品を保証するものではないからで、誤った運用を続けた場合、回収や取り消しになる場合がある。
マークの誤使用は、取引先より認証取得した競合企業が登録機関に指摘して発覚することが多い。一般に、認証マークは、名刺、パンフレット、ホームページ、プレゼンテーション資料に使われることが多いので、注意した方がよいだろう。
以上のポイントを踏まえ、個人情報保護対策をしっかりと行い、対外的に効果的なアピールをしていただきたい。
佐藤隆プロフィール
セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。