今回は、二つのシステム、PMSとISMSの統合化の可能性について考えたいと思います。統合化と言っても、出どころも存在意義も違う両者を誰かが統合してくれるという話ではなく、現場で実際にシステムを運用するにあたって、両者を一つの視点から見て、重なりと違いを把握したうえで、まとめるべきところはまとめ、最小限の労力で漏れのない活動をする方法を探るということです。

　前回、「個人情報保護活動」と「情報セキュリティ保護活動」の重なりと、それぞれの意義の違いについてお話ししました。それぞれのマネジメントシステムである「個人情報保護マネジメントシステム（PMS）」と「情報セキュリティマネジメントシステム（ISMS）」の違いをまとめると、前者は個人情報の不正利用を防ぐための法の遵守（コンプライアンス）の手段であり、後者は個人情報をも含めて企業が持つ情報全般のセキュリティ水準を上げるための手段ということになります。第３回でも述べましたように、両者は存在意義が微妙に違うものではありますが、重複する部分も多く非常に紛らわしいため、現場に混乱を招いたり、「二度手間」という印象を与えて活動の形骸化の要因になったりしています。そうなってしまったら結局、情報の不正利用は防げず、情報セキュリティの水準も下がってしまいます。では、合理的で実効性のある活動を行うには、どうすればよいのでしょうか。

目次

PMSとISMSの関係

JISQ15001とJISQ27001

PMSの安全管理措置とISMSの付属書Aの133の管理策との対応

よりよい統合を目指して

PMSとISMSの関係

ここでもう一度、両者の関係の分かりにくい部分をあげていくと、まずそれぞれが言及している「情報」の範囲は、PMSが「個人情報」のみを対象としているのに対し、ISMSは企業にとっての「情報資産」全体を対象としておりその中に「個人情報」が包括されるような関係になっています。次に「法」との関係を述べると、PMSが「個人情報保護法」に基づいているのに対し、ISMSは法と直接的な関連を持つものではなく国際標準に基づいています。したがって、前者は日本固有のものであり、対照的に後者は世界共通の性格を持っています。また、一方がもう一方に含まれるというものではなく、共通点を持ちながらも範囲も方向性も異なるという複雑な関係になっています。

JISQ15001とJISQ27001

PMSの適用規格はJISQ15001です。これは、「個人情報の保護に関する法律に基づく個人情報保護ルール及びマネジメントシステムを併せもった規格とした」（JISQ15001解説より引用）とあるように、「規則」と「標準」の二つの側面を持つ独特な性格を有しています。一方、ISMSの適用規格はJISQ27001であり、これは国際標準ISO27001を翻訳したものですから、他の国際標準、例えば品質マネジメントのISO9001、環境マネジメントのISO14001と共通の構成を持ち、その汎用的な性格によって複数のマネジメント活動を並行して行いやすいようになっています。

　しかし、日本固有で複雑な性格を持ち扱いにくそうな印象を与えるJISQ15001も、「マネジメントシステム」であることにかわりはありませんから、JISQ27001と重ね合わせることによって、他のマネジメントシステムと同時に実施することが可能であると考えられます。ただ、それにはまとめて行える部分とそうでない部分の見極めが必要になってきます。

その見極めについて、次のような方法を提案します。JISQ15001とJISQ27001にそれぞれ規定されるマネジメントシステムへのインプットとアウトプットの類似の度合によって、統合の可能性を判定するというものです。それを具体的に示したものが表1です。インプット、アウトプットが類似するプロセスは同時に実施することができるものとして、統合化可能として（◯）で示します。インプットとアウトプットの内容の大部分が同じだが少し異なる場合、注意が必要として（△）で示します。　両者のインプット・アウトプットが異なるプロセスは統合の対象外として（×）で示します。

表１　JISQ15001とJISQ27001の比較

　まず、統合化が容易に可能な項目（○）と、全く不可能な項目（×）について述べ、その後で、統合は可能であるが注意が必要な項目（△）について詳しく考えていきたいと思います。

1）
統合化が可能な項目（○）

JISQ15001は2006年の改定により「コンプライアンス・プログラム」から「マネジメントシステム」の要求事項へと性格を変えているので、PDCAサイクルを回すプロセスは統合化が可能です。①と⑤の部分、にある経営者の責任、従業者の監督、委託先の監督、文書化、教育、点検と是正処置及び予防処置、代表者の見直し、はプロセス及び手順書や様式を共通化することができます。これにより、監査責任者、教育責任者、事務局も一本化できると思われます。

2）
統合化が不可能な項目（×）

統合ができないものは、PMSに特有なものになります。③に示したように、個人情報の取得や提供に関する原則などは個人情報保護法に基づく部分ですので、統合化できません。例えばインターネットを利用して商品を販売する事業者では、情報漏えい防止だけではなく、明確な利用目的に限った情報利用を顧客に宣言するなど、PMS固有の活動が顧客との信頼関係を築く上で必要になります。

3）
統合化に注意が必要な項目（△）

最後に、統合化は可能であるが注意が必要な項目としては、規定は共通化できるけれども、事業内容から来る適用範囲の違いから、様式に違いがでるものがあります。

まず、②にある「個人情報の特定」です。PMSでは「個人情報特定台帳」、ISMSでは、特定した情報の「資産目録」を作ることが要求されます。両者が想定する「情報」には違いがあります。

JISQ27001に例示されている情報資産の種類は以下のものです。

・情報（データベース及びデータファイル，契約書及び同意書，など）

・ソフトウェア資産（業務用ソフトウェア，システムソフトウェア、など）

・物理的資産（コンピュータ装置，通信装置，取外し可能な媒体、など）

・サービス（計算処理サービス，通信サービス，など）

・人（保有する資格・技能・経験、など）

・無形資産（組織の評判・イメージ、など）

PMSでは、電子メール、音声、画像なども個人情報とみなされます。さらに個人情報の利用目的を明示することが求められますので、ISMSの「資産目録」では個人情報の特定が不足すると考えられます。

次に、おなじく②にあるリスク分析及び対策については、PMSではライフサイクル（取得、保管、利用、委託・提供、廃棄など）毎にリスクを分析・管理することが求められます。

ライフサイクル毎の分析を行うためには、「個人情報特定台帳」に対応した個人情報を取り扱う際の業務フローを元に「リスク分析表」を作成するなど、動的な視点が必要です。第２回のレポートでも取り上げましたが、PMSでは、社会への影響などISMSよりも広範囲なリスクを考えたリスクマネジメントが必要です。

④の安全管理については、特に重要であるため、次節で詳しく述べます。

PMSの安全管理措置とISMSの付属書Aの133の管理策との対応

先の表１の④の部分、「安全管理」の統合は最も注意が必要です。JISQ15001の安全管理に関する記述は「事業者は、取り扱う個人情報のリスクに応じて、漏えい、滅失またはき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」という全体的な方向性のみを示すものです。では、「必要、かつ、適切な措置」とは何か、具体的な記述は経済産業省よりガイドラインとして通達されています。「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成２１年１０月９日厚生労働省・経済産業省告示第２号)というものです。そこに安全管理措置の具体的な項目が示されています。したがって、それがPMS（個人情報保護活動）の安全管理策であり、言い換えればPマーク制度の認証を受けるために必須の項目ということになります。一方のISMSにおいて、安全管理策はJISQ27001の「付属書A」として具体的に133の「しなければならないこと」が記述されています。133もあるというと「付属書A」にPMSの策のすべてが含まれているような印象がありますが、実はそうではなく、抜けている部分もかなりあるのです。そこで両者を統合するために、表2のように対照させてみました。ここに133の管理策をそのまま記述することはできないので、『情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項　　JISQ27001：2006』の「付属書A（規定）管理目的及び管理策」の表（pp14－25）と対照させながらご覧いただきたいと思います。

表
２　PMSとISMSの安全管理措置の対応

一列目にPMSにおける経済産業省のガイドラインを、2列目にISMSにおける「付属書A」に管理策があるものの番号を、3列目に管理策の記述はないが経済産業省ガイドラインには記されているものを入れてみました。つまり、3列目を補足すれば、「付属書A」を軸にした統合が可能ということです。

統合で注意しなければならない点は、やはりこれまでにも述べてきたPMSとISMSの方向性の違いです。PMSは法の遵守の手段であるため、定められた規程に従って業務手続が適切に行われたことを示す監査証跡を保持し、管理者が定期的に点検するといった組織的安全管理措置を強く求めています。つまり、「やらねばならないこと」が細かく定められているのです。一方のISMSは、企業が規模に応じて適用宣言書を発行するという自律性に立脚した性質があるので、もし仮に適用宣言書を狭く作成してしまったら、PMSの求めるものをカバーできなくなってしまうでしょう。

よりよい統合を目指して

PMSとISMSの両方の活動を行うことが、今日企業の社会的責任とみなされるようになってきました。それは当然良いことなのですが、中には仕事を受注するためやむを得ず両者を実施し、煩雑さに悩まされ、あげくに形骸化に走るという企業も少なくないように見受けられます。両者はセキュリティ面での接点も多く、統合的に運用することで、合理的かつ効果的なものにすることが可能です。しかし、安易に「似ているからまとめる」のでは、大きな落とし穴に落ちかねません。まず、それぞれの意義の再確認を行ったうえで、どの部分で、どちらを基準にして、もう一方をどのように補足として用いるか、管理者が明確な指針を決めたうえで、現場全体に徹底する必要があるのです。