運用ノウハウを学ぶ

システム管理に関わるベーシック情報やトレンドをご案内します!

プライバシーマーク制度を考察する 第4回 プライバシーマーク(Pマーク)と他の認証制度の統合
2010年08月31日 19:00

 今回は、二つのシステム、PMSISMSの統合化の可能性について考えたいと思います。統合化と言っても、出どころも存在意義も違う両者を誰かが統合してくれるという話ではなく、現場で実際にシステムを運用するにあたって、両者を一つの視点から見て、重なりと違いを把握したうえで、まとめるべきところはまとめ、最小限の労力で漏れのない活動をする方法を探るということです。


 前回、「個人情報保護活動」と「情報セキュリティ保護活動」の重なりと、それぞれの意義の違いについてお話ししました。それぞれのマネジメントシステムである「個人情報保護マネジメントシステム(PMS)」と「情報セキュリティマネジメントシステム(ISMS)」の違いをまとめると、前者は個人情報の不正利用を防ぐための法の遵守(コンプライアンス)の手段であり、後者は個人情報をも含めて企業が持つ情報全般のセキュリティ水準を上げるための手段ということになります。第3回でも述べましたように、両者は存在意義が微妙に違うものではありますが、重複する部分も多く非常に紛らわしいため、現場に混乱を招いたり、「二度手間」という印象を与えて活動の形骸化の要因になったりしています。そうなってしまったら結局、情報の不正利用は防げず、情報セキュリティの水準も下がってしまいます。では、合理的で実効性のある活動を行うには、どうすればよいのでしょうか。

PMSとISMSの関係

 ここでもう一度、両者の関係の分かりにくい部分をあげていくと、まずそれぞれが言及している「情報」の範囲は、PMSが「個人情報」のみを対象としているのに対し、ISMSは企業にとっての「情報資産」全体を対象としておりその中に「個人情報」が包括されるような関係になっています。次に「法」との関係を述べると、PMSが「個人情報保護法」に基づいているのに対し、ISMSは法と直接的な関連を持つものではなく国際標準に基づいています。したがって、前者は日本固有のものであり、対照的に後者は世界共通の性格を持っています。また、一方がもう一方に含まれるというものではなく、共通点を持ちながらも範囲も方向性も異なるという複雑な関係になっています。

JISQ15001とJISQ27001

 PMSの適用規格はJISQ15001です。これは、「個人情報の保護に関する法律に基づく個人情報保護ルール及びマネジメントシステムを併せもった規格とした」(JISQ15001解説より引用)とあるように、「規則」と「標準」の二つの側面を持つ独特な性格を有しています。一方、ISMSの適用規格はJISQ27001であり、これは国際標準ISO27001を翻訳したものですから、他の国際標準、例えば品質マネジメントのISO9001、環境マネジメントのISO14001と共通の構成を持ち、その汎用的な性格によって複数のマネジメント活動を並行して行いやすいようになっています。


 しかし、日本固有で複雑な性格を持ち扱いにくそうな印象を与えるJISQ15001も、「マネジメントシステム」であることにかわりはありませんから、JISQ27001と重ね合わせることによって、他のマネジメントシステムと同時に実施することが可能であると考えられます。ただ、それにはまとめて行える部分とそうでない部分の見極めが必要になってきます。


その見極めについて、次のような方法を提案します。JISQ15001JISQ27001にそれぞれ規定されるマネジメントシステムへのインプットとアウトプットの類似の度合によって、統合の可能性を判定するというものです。それを具体的に示したものが表1です。インプット、アウトプットが類似するプロセスは同時に実施することができるものとして、統合化可能として(◯)で示します。インプットとアウトプットの内容の大部分が同じだが少し異なる場合、注意が必要として(△)で示します。 両者のインプット・アウトプットが異なるプロセスは統合の対象外として(×)で示します。


表1 JISQ15001JISQ27001の比較

 

PMS

番号・項目は JISQ15001

ISMS

 番号・項目は JISQ27001

統合化

◯:可能

△:注意

×:不可能

1 適用範囲

1 適用範囲

2 用語及び定義

3 用語及び定義

3 要求事項

 

3.3.4資源、役割、責任及び権限

4 情報セキュリティマネジメントシステム

5 経営陣の責任

 

3.2 個人情報保護方針

3.3.1 個人情報の特定

3.3.2 法令,国が定める指針その他の規範

3.3.3 リスクなどの認識,分析及び対策

3.3.6 計画書

3.3.7 緊急事態への準備

A.5.1 情報セキュリティ基本方針

A.7 資産の管理

A.15.1 法的要求事項の順守

 

4.2.1 ISMS の確立

 

4.2.2 ISMS の導入及び運用

A.14 事業継続管理

*1

 

*2

 

3.4.2 取得,利用及び提供に関する原則

該当なし

×

 

3.4.3.1 正確性の確保

該当なし

×

3.4.3.2 安全管理措置

附属書A

△詳細は表2に示す

3.4.3.3 従業者の監督

3.4.3.4 委託先の監督

A.8 人的資源のセキュリティ

A.8 人的資源のセキュリティ

3.5 個人情報保護マネジメントシステム文書

4.3 文書化に関する要求事項

 

3.4.5 教育

5.2.2 教育・訓練,意識向上及び力量

3.7 点検

 

4.2.3 ISMS の監視及びレビュー

6 ISMS 内部監査

3.9 事業者の代表者による見直

7 ISMS のマネジメントレビュー

3.8 是正処置及び予防処

4.2.4 ISMS の維持及び改善

8 ISMS の改善

 

 まず、統合化が容易に可能な項目(○)と、全く不可能な項目(×)について述べ、その後で、統合は可能であるが注意が必要な項目(△)について詳しく考えていきたいと思います。

1)統合化が可能な項目(○)

JISQ150012006年の改定により「コンプライアンス・プログラム」から「マネジメントシステム」の要求事項へと性格を変えているので、PDCAサイクルを回すプロセスは統合化が可能です。①と⑤の部分、にある経営者の責任、従業者の監督、委託先の監督、文書化、教育、点検と是正処置及び予防処置、代表者の見直し、はプロセス及び手順書や様式を共通化することができます。これにより、監査責任者、教育責任者、事務局も一本化できると思われます。


2)統合化が不可能な項目(×)

統合ができないものは、PMSに特有なものになります。③に示したように、個人情報の取得や提供に関する原則などは個人情報保護法に基づく部分ですので、統合化できません。例えばインターネットを利用して商品を販売する事業者では、情報漏えい防止だけではなく、明確な利用目的に限った情報利用を顧客に宣言するなど、PMS固有の活動が顧客との信頼関係を築く上で必要になります。

 

3)統合化に注意が必要な項目(△)

最後に、統合化は可能であるが注意が必要な項目としては、規定は共通化できるけれども、事業内容から来る適用範囲の違いから、様式に違いがでるものがあります。


まず、②にある「個人情報の特定」です。PMSでは「個人情報特定台帳」、ISMSでは、特定した情報の「資産目録」を作ることが要求されます。両者が想定する「情報」には違いがあります。


JISQ27001に例示されている情報資産の種類は以下のものです。

・情報(データベース及びデータファイル,契約書及び同意書,など)

・ソフトウェア資産(業務用ソフトウェア,システムソフトウェア、など)

・物理的資産(コンピュータ装置,通信装置,取外し可能な媒体、など)

・サービス(計算処理サービス,通信サービス,など)

・人(保有する資格・技能・経験、など)

・無形資産(組織の評判・イメージ、など)

 

PMSでは、電子メール、音声、画像なども個人情報とみなされます。さらに個人情報の利用目的を明示することが求められますので、ISMSの「資産目録」では個人情報の特定が不足すると考えられます。


次に、おなじく②にあるリスク分析及び対策については、PMSではライフサイクル(取得、保管、利用、委託・提供、廃棄など)毎にリスクを分析・管理することが求められます。


ライフサイクル毎の分析を行うためには、「個人情報特定台帳」に対応した個人情報を取り扱う際の業務フローを元に「リスク分析表」を作成するなど、動的な視点が必要です。第2回のレポートでも取り上げましたが、PMSでは、社会への影響などISMSよりも広範囲なリスクを考えたリスクマネジメントが必要です。

④の安全管理については、特に重要であるため、次節で詳しく述べます。

 

PMSの安全管理措置とISMSの付属書Aの133の管理策との対応

 先の表1の④の部分、「安全管理」の統合は最も注意が必要です。JISQ15001の安全管理に関する記述は「事業者は、取り扱う個人情報のリスクに応じて、漏えい、滅失またはき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」という全体的な方向性のみを示すものです。では、「必要、かつ、適切な措置」とは何か、具体的な記述は経済産業省よりガイドラインとして通達されています。「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号)というものです。そこに安全管理措置の具体的な項目が示されています。したがって、それがPMS(個人情報保護活動)の安全管理策であり、言い換えればPマーク制度の認証を受けるために必須の項目ということになります。一方のISMSにおいて、安全管理策はJISQ27001の「付属書A」として具体的に133の「しなければならないこと」が記述されています。133もあるというと「付属書A」にPMSの策のすべてが含まれているような印象がありますが、実はそうではなく、抜けている部分もかなりあるのです。そこで両者を統合するために、表2のように対照させてみました。ここに133の管理策をそのまま記述することはできないので、『情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項  JISQ270012006』の「付属書A(規定)管理目的及び管理策」の表(pp1425)と対照させながらご覧いただきたいと思います。


2 PMSISMSの安全管理措置の対応

PMS安全管理策

(経済産業省のガイドラインより)

PMSに対応するISMSの附属書の管理策

経済産業省のガイドラインで求められ、ISMS附属書Aで不足する安全管理策

入退館(室)管理の実施

A.9.1.1

A.9.1.2

建物等への入退館(室)記録の保持と定期的点検

盗難等の防止

A.11.3.3

A.10.7.1

A.10.7.2

個人データを含む媒体の施錠保管が必要

機器・装置等の物理的な保護

A.9.2.1

 

 

個人データへのアクセスにおける識別と認証

A.11.3.1

A.11.5.2

A.11.2.1

A.11.5.3

A.11.6.1

A.11.4.3

A.12.3.1

A.12.3.2

パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗したID を停止する等の措置

個人データへのアクセス制御

A.11.5.5

A.11.5.6

A.12.5.3

A.12.2.2

 

個人データへのアクセス権限を付与すべき者の最小化、アクセス権限を有する者に付与する権限の最小化、個人データを格納した情報システムへの同時利用者数の制限する措置

個人データへのアクセス権限の管理

該当なし

個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施、個人データを取り扱う情報システムへの必要最小限のアクセス制御の実施の措置

個人データのアクセスの記録

A.10.10.1

A.10.10.3

 

個人データを取り扱う情報システムについての不正ソフトウェア対策

A.12.6.1

A.10.10.1

 

個人データの移送・送信時の対策

A.10.8.3

A.12.3.1

 

個人データを取り扱う情報システムの動作確認時の対策

該当なし

情報システムの動作確認時のテストデータとして個人データを利用することの禁止、情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないことの検証の措置

個人データを取り扱う情報システムの監視

A.15.2.2

 


一列目にPMSにおける経済産業省のガイドラインを、2列目にISMSにおける「付属書A」に管理策があるものの番号を、3列目に管理策の記述はないが経済産業省ガイドラインには記されているものを入れてみました。つまり、3列目を補足すれば、「付属書A」を軸にした統合が可能ということです。

 

統合で注意しなければならない点は、やはりこれまでにも述べてきたPMSISMSの方向性の違いです。PMSは法の遵守の手段であるため、定められた規程に従って業務手続が適切に行われたことを示す監査証跡を保持し、管理者が定期的に点検するといった組織的安全管理措置を強く求めています。つまり、「やらねばならないこと」が細かく定められているのです。一方のISMSは、企業が規模に応じて適用宣言書を発行するという自律性に立脚した性質があるので、もし仮に適用宣言書を狭く作成してしまったら、PMSの求めるものをカバーできなくなってしまうでしょう。


よりよい統合を目指して

 PMSISMSの両方の活動を行うことが、今日企業の社会的責任とみなされるようになってきました。それは当然良いことなのですが、中には仕事を受注するためやむを得ず両者を実施し、煩雑さに悩まされ、あげくに形骸化に走るという企業も少なくないように見受けられます。両者はセキュリティ面での接点も多く、統合的に運用することで、合理的かつ効果的なものにすることが可能です。しかし、安易に「似ているからまとめる」のでは、大きな落とし穴に落ちかねません。まず、それぞれの意義の再確認を行ったうえで、どの部分で、どちらを基準にして、もう一方をどのように補足として用いるか、管理者が明確な指針を決めたうえで、現場全体に徹底する必要があるのです。

IFRS/J-SOX
プライバシーマーク制度を考察する

企業からの相継ぐ情報漏洩により、経営者は情報セキュリティに対応するIT統制の仕組み作りを強く要求され、多くの企業が個人情報保護法に対するコンプライアンスプログラム(CP)やプライバシーマーク(Pマーク)制度に取り組んでいる。 Pマーク制度は、2006年から、ISO9001と同じマネジメントシステム(PMS)へと大きく変化した。このため、各企業はCP体制構築や内部規程整備から、更にPDCAサイクルに基づく改善を目指した仕組みを構築する必要がある。 Pマーク審査員の目から、Pマーク制度の要件とマネジメントシステムの効果的な構築を考察する。

記事一覧へ
筆者紹介

NKNコンサルティング株式会社
代表取締役 久野 茂(くの しげる)
日本電気株式会社(ソフトウェア生産技術の研究・開発に従事)および株式会社日本総合研究所(経営システムコンサルタントおよびソフトウェア開発プロセス改善に従事)を経て、現在は経営とITの橋渡しを専門とするITコーディネータ。

コメントを書く
コメントを書く

未ログイン: ログインする

コメント: ログイン(会員登録)すると、コメントを書き込むことができます。

  • 新着Q&A
  • 最新の回答

システム管理者認定講座<全コース共通>試験のみ受験希望の方はこちら

動画で見るセミナー
動画で見るセミナー

こちらは、システム管理者認定講座の認定試験の受験のみ希望される方の申込みページです。 システム管理者認定講座のアソシエイト(初級)、バチェラー(中級)、マスタ

個人情報保護方針
運営者につい て
利用規約
サイトマップ