« 金融庁 個人情報保護関連パブリックコメント  | Main | 警視庁の安全対策のウェブページ »

2005.02.10

ISMS Pマークと個人情報の委託先の選定

 こんにちは、丸山満彦です。個人情報保護法の全面施行を前にみなさん情報セキュリティ対策の強化を行っていることと思います。とりわけ、委託先に対する監督の強化は、漏えい事件の影響もあり、取り組んでいるところが多いようです。最初に手をつけるのは、委託先との契約事項と選定基準の見直しです。ときどき、委託先の選定基準にISMSやプライバシーマーク(Pマーク)を取得していることを選定基準にいれている企業がありますが、マークを取っていればよいというものではないでしょう・・・。もし、コンサルタントに言われてそんなことを書いたのであれば、そのコンサルタントは本質を理解していないと思います。

 
 この件は、ITメディアの連載記事(第3回)すでに書きましたが、もう一度ブログでも説明したいと思います。

 あなたの企業は個人情報の委託先を選定するための条件の一つとして、自社が行っているセキュリティ対策と同等以上の企業を選定したいと思っています。

という想定に立った場合、次の問題を考えてみてください。

【Q】ISMSを取得している企業は取得していない企業よりも情報セキュリティレベルは高いか?
①高い
②わからない

【A】②わからない。ISMSは自らが決めたセキュリティ対策を実施していることを審査登録機関が保証しているだけです。自ら決めたセキュリティ対策ですから、高いかもしれませんし、そこそこかもしれません。

 したがって、ISMSを取得しているからといって、委託先としてOKというわけではありません。また、ISMSを取得していないからといってNGというわけでもありません

【Q】では、ISMSを取得していることは意味がないのですか?

【A】ISMSを取得している企業は「適用宣言書」というものを作成しています。JISX5080の127のセキュリティ対策を実施していることを宣言するものです。これを見ればどの程度の対策を実施しているかがわかりますから、その内容を確認して、適切な委託先を選定することに役立ちます。
 また、それは、審査登録機関がその実施を保証していますから、万が一、その内容に誤りがあり、それを信じて取引をしたために損害が起こった場合に、委託先のみならず、審査登録機関に対しても損害賠償を請求することが可能となります。

 したがって、ISMSを取得している企業だから委託するのではなく、ISMSを取得している企業は
①適用宣言書を確認することにより、どのようなセキュリティ対策を実施しているかを確認できる
②その提供宣言書が標準化されているため、他社比較がしやすい(まさにこれが標準化の恩恵です)
③適用宣言書に誤りがあり、それを信じたために損害をこうむった場合、委託先のみならず、審査登録機関からも損害賠償を請求することができるので、リスクヘッジ上有利である。

 ということで、ISMSの認証取得をしている企業を選定することには意味があります。同程度の対策をしていると主張する企業があれば、ISMSを取得している企業を選定することが賢明でしょう。


【Q】プライバシーマークの場合はどうですか?

【A】プライバシーマークの場合は、適用宣言書の作成が義務付けられていませんから、どのような対策をしているのかをヒアリングして確認しなくてはなりません。したがって、ISMS認証企業よりも、その確認に手間がかかります。そういう意味では、ISMSのほうがよいと思います。

=====

 こういう書き方をすると、ISMS擁護派から批判をうけるかもしれませんが、誤解がないように言っておきますと、私は、ISMS推進派です。ISMS制度が正しく広まることは社会的にもよいことだと思っています。ただし、ISMSが商売になるからといって、社会の公益を考えず、自らの利益のみを追求し、ISMSについての誤解を生じさせるようなことをする悪徳コンサルタントや審査登録機関が跋扈するようになるのは、推進派としては困ります。

 ある業界でJISQ9001を取得していないと取引をしない・・・というような話になり、業界がこぞってJISQ9001の認証を取得しました。前にも言いましたが、マネジメントシステムは形骸ですから、形さえ整えば認証取得はできます。結果はどうなったか?
 中身のない認証取得企業ばかり増え、品質は向上せず、社会的には何の便益も無かった。儲かったのは、ISOコンサルタントと審査登録機関だけ・・・。その社会的コストは品質に反映されずに国民が薄く負担しているはずです。結局、JISQ9001の認証取得していなくても取引をするという正しい姿に戻りました。つまり、自社が必要と思っている企業だけがJISQ9001の認証を取得維持するという状態です・・・

 こういうことになると、制度自体の信頼も失われ、正しく認証取得をしている企業の信頼にも傷がつくことになります。
 
 ISMS推進派としては、制度が正しく理解され広がっていくことが重要と思っています。この制度が悪徳コンサルタント達の食いものにならないことを切に願っています。



このブログの中の意見は私見であり、所属する組織の意見ではないことをご了承ください。

|

« 金融庁 個人情報保護関連パブリックコメント  | Main | 警視庁の安全対策のウェブページ »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference ISMS Pマークと個人情報の委託先の選定:

» ISMSって美味しいの? [joey's blog]
まるちゃんの情報セキュリティ気まぐれ日記にISMS Pマークと個人情報の委託先の選定という日記が掲載されているのに今頃気がついた。 そもそも情報セキュリティ... [Read More]

Tracked on 2005.02.13 11:32

» セキュリティ対策のコスト増加 [ビジネスブログ - ittyさんのブログ - MicroSpace]
松下電器、個人情報保護「Pマーク」グループ全社取得へ 個人情報保護法の施行、各社の個人情報の漏洩問題などが相次ぐ中、 セキュリティ対策はずいぶん広まってきています。 松下電器という会社は社員数も多く、事業場数も半端な数ではありません。 そんな巨...... [Read More]

Tracked on 2005.07.10 11:26

« 金融庁 個人情報保護関連パブリックコメント  | Main | 警視庁の安全対策のウェブページ »