第13回 マネジメントから見た情報セキュリティ：知ってるつもり？「セキュリティの常識」を再確認（1/2 ページ）

費用対効果や即効性から技術的な対策が中心となってきた。しかし、これらの対策を利用するのも、管理するのも「人」である。マネジメントシステムにより有効性を高める視点も忘れてはならない。

[烏山雄大（三井物産セキュアディレクション），ITmedia]

　これまでの連載では、技術的な面でのセキュリティ技術／対策を紹介してきた。技術的な対策は費用対効果の面で確かに人的対策よりも優れていることが多く、即時的な効果を得られることから対策の中心となってきたが、技術的対策を利用するのも、管理・運営するのもやはり「人」である。システムの機能を十分に活かした効果的な対策を行うには人的対策を施すことが必要不可欠だ。今回は技術的対策を補完し、有効性を高めるための人的対策について紹介する。

　近年、人的対策として注目を浴びているのが、情報保護を目的としたマネジメントシステムである。日本で発生した情報漏えい事件の6割が内部要因により発生し、その際に「保護体制の不備」「情報保護の為の方針の欠如」「情報の取り扱いに対する記録の欠如」が問題点として挙げられたことが大きい（関連記事）。今年4月には「個人情報保護法」が完全施行され、個人情報やシステムの委託先の選定基準としても利用されていることから、今後ますますマネジメントシステムの重要性は高まっていくだろう。

　情報保護や情報セキュリティに関する制度は数多くあるが、ここでは読者の関心が高いであろう「プライバシーマーク制度」と「ISMS認証基準」について説明する。そのほかの制度については別の記事を参考にしていただきたい。

プライバシーマーク制度

　プライバシーマーク（Pマーク）制度は、財団法人日本情報処理開発協会（JIPDEC）が付与機関を務める制度であり、日本工業規格（JIS規格）の「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS Q15001）に準拠し、個人情報の適切な保護体制を有していると認められた事業者に対して与えられる資格である。

　JISの定義によると、コンプライアンス・プログラム（CP）とは「事業者が、自ら保有する個人情報を保護するための方針、組織、計画、実施、監査および見直しを含むマネジメントシステム」とされている。簡単に説明すると、自らの組織が持つ個人情報について、以下の内容を含むマネジメントシステムを作成することになる。

• 適切な個人情報の収集／利用／提供／廃棄方法の基準の策定
• 保有している個人情報への不正アクセス、紛失、改ざん、漏えいを予防するための手順および対応方法の是正
• 個人情報に関する法令などに準拠すること
• マネジメントシステム（CP）の継続的改善の方法

図1■コンプライアンス・プログラム作成の流れ（詳しい情報は、コンプライアンス・プログラムの作成指針）

　2005年5月現在で、取得企業は1400社を超えている。個人情報保護法の施行も相まって、今後も増加傾向が続くと思われる。ただ、筆者はPマークの基準に1点不満がある。システムの安全基準に関する記述が非常に少ないのである。確かに十分な体制を構築し管理を徹底することで、目的を達成することは十分可能だが、人的対策だけでは、携わる人員の負荷を非常に大きくしてしまう。マネジメントシステムを有効に活用するためには、人的対策と技術的対策の両方を適切に組み合わせることが重要である。Pマークの取得を考えられている企業は、次に示すISMS認証基準の技術的対策などをうまく取り入れていくといいだろう。

ISMS認証基準