« 米国医師会が遠隔医療のための導入参考書(Play book)を策定してますね。 | Main | スイス連邦データ保護・透明性委員会 COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表 »

2020.04.09

JIPDEC 「プライバシーマークとISMS認証について」という難しいお題に対する説明。。。

こんにちは、丸山満彦です。

PマークとISMSについての話です。。。

JIPDECは事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価する制度として1998年4月からPマーク制度を運用しています。この制度は、民間部門の個人情報の取扱いに関する方策(行政機関には立法で対応した)として、経済産業省の指導を受けて作られたものです。その後、2005年に個人情報保護法が施行されたので、認定のポイントが対策からマネジメント認証に軸足を移さざるをえなくなってきています。

一方、JIPDECは事業者が情報セキュリティの管理を適切に行う体制等を整備していることを評価する制度として2002年4月からISMS認証制度を運用しています。この制度は、情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として、昭和56年(1981年)7月20日通商産業省告示342号による「情報システム安全対策実施事業所認定制度(安対制度)」という政府認定の制度の民間移管に伴い作られた制度です。情報セキュリティがあらゆる場面で重要となってきたためか、認証基準やガイドラインがたくさんできています。

私は両方の制度に関わったことがあるのですが(今も薄く関わっています)、特にISMS認証制度については、制度立ち上げから関わっています。安対制度が設備、技術中心であったものをマネジメント認証制度に変更していきました(たまたま当時、英国のマネジメント認証規格で会ったBS7799が注目を集め始めていた頃で、英国がISO 9000やISO 14000に続いて国際基準化する方向にあったのを知っていたので、BS7799をベースに認証基準を作りました。その際には元安対基準をベースに作りたいという人も多く難儀しましたが・・・)。

さて、このような別々の成り立ちからできた制度(したがって、JIPDECで対応している部署も別)ですが、個人情報の保護をするためには情報セキュリティ対策が必要となること、一方、情報セキュリティマネジメントの対象として個人情報の保護も必須となってくることから、常に二つの制度は微妙な関係でJIPDEの中で両立していました。

そして、2019年に情報セキュリティマネジメントの認証規格であるISO/IEC 27001をプライバシー情報に拡張したISO/IEC 27701プライバシー情報のマネジメントシステム認証規格が登場します。こうなってくると、Pマーク制度とISMSを拡張したPIMSの違いがますますわかりにくくなりました。。。

ということで、JIPDECが説明文書を公開しました(^^)

JIPDEC

・2020.04.09 プライバシーマークとISMS認証について

-----

プライバシーマークは、付与事業者の方々にビジネス取引の現場だけでなく企業のWebサイトやTV CM、店頭等でもご活用いただいており、個人情報保護を重要視しているという企業の姿勢を示すマークとして多くの方にご理解いただいております。一方、ISO/IEC 27701を付加したISMS認証(注2)は、今後、国際的な認知が高まることが予想され、海外の取引先等からの要請に応える場合に有効になると考えられます。

----

上記の背景を理解すると、この説明文書の内容もよりよく理解できるかも...です。。。

 

【参考】

JIPDEC - 付与事業者情報

ISMS-AC 
・2020.04.08 ISO/IEC 27701への対応について

● Microsoft JapanISO/IEC 27701 プライバシー情報管理システム (PIMS)

まるちゃんの情報セキュリティ気まぐれ日記
・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」

 

|

« 米国医師会が遠隔医療のための導入参考書(Play book)を策定してますね。 | Main | スイス連邦データ保護・透明性委員会 COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表 »

Comments

Post a comment



(Not displayed with comment.)




« 米国医師会が遠隔医療のための導入参考書(Play book)を策定してますね。 | Main | スイス連邦データ保護・透明性委員会 COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表 »