JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001
こんにちは、丸山満彦です。2006.05.20に Q13335-1, Q27001, Q27002が制定され、Q15001が改定されたようですね。
■官報 平成18年5月22日付(本紙 第4341号)
・〔官庁報告〕
・・産 業
・・・日本工業規格(経済産業省) 10ページ 11ページ
11ページに
●制定された日本工業規格
・Q13335-1 情報技術-セキュリティ技術-情報通信技術セキュリティマネジメント-第1部:情報通信技術セキュリティマネジメントの概念及びモデル
・Q27001 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
・Q27002 情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範
●改定された日本工業規格
・Q15001 個人情報保護マネジメントシステム-要求事項
が載っていますね。
Comments
間が空いてしまいましたが、5/22に日本システム監査人協会の研究会(実質は新JISQ15001:2006の説明会)に行ってまいりました。
改正内容はほぼ納得できるものでしたが、
昨今の内部統制強化風潮の影響からか、「3.4.3.3 従業者の監督 においては、監査役は企業から独立の立場であるから、企業側からセキュリティ教育等監督行為をしてはいけない」、と受け取れるような説明がありました。
「従業者」の定義も、「事業者の指揮監督を受けて業務に従事している者(中略)監査役(中略)等を含む」と言っている時点で矛盾しているような気が。
監査役に対する個人情報保護はどうやって担保するのか、モヤっとしたままの状態です。
現実的に、株主総会の場で監査役に個人情報保護の教育を行うこともできないでしょうし。
Posted by: チョー | 2006.05.31 20:23
チョーさん、コメントありがとうございます。
個人情報取扱事業者で個人データを取り扱う人が適切な取扱いができるように教育をするという話なのだろうと思います。監査役は業務を執行しないわけですが、もし監査役が個人データを取り扱うことがあるのであれば、適切な取扱いができるようにしておく・・・ということだと思います。
Posted by: 丸山満彦 | 2006.06.01 08:07
丸山先生、コメントありがとうございます。
個人情報保護法の元々の趣旨からはずれるかもしませんが、
監査役の機能に「内部告発の通報先」を想定した場合、その通報者の保護をどうしたらよいか、などをちょうど考えていた最中だったので、過剰に反応してしまったようです。
Posted by: チョー | 2006.06.01 12:17
チョーさん、コメントありがとうございます。通報者のプライバシーの保護というか、地位の保護というかですが、監査役に通報するのはいいのですが、その内容に応じて取締役会で対応を促すとか、実質的なことを考えるといろいろと検討すべきことがありますね。
Posted by: 丸山満彦 | 2006.06.02 11:17