データ復旧・データ消去技能者の個人ブログ

HAYATO.NET

未分類

プライバシーマーク(Pマーク)とISMS(ISO27001) 必要性

更新日:

プライバシーマーク(Pマーク)とISMS(ISO27001) 必要性

データリカバリ業者の情報セキュリティーを判断するために、PマークISMSなどの公的な認証の取得を目安にすることは良くあることで、必ずしも間違いではないのですが、それらは絶対的な基準ではないことを理解しておくことが必要です。

その理由は、

  1. プライバシーマークとは、個人情報保護法によって定められた「個人情報」を保護するための管理体制が一定の基準を満たしていることを認証しています。
    しかし、ここで定められている「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる 氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)であって、個人の持つ個人的な情報(プライバシー)ではないのです。
  2. ISMSとは、対象となる組織が定めた機密度(重要度)の高い情報資産を管理するための体制が一定の基準を満たしているか、その改善活動が行われているかを認証したものであって、どんな情報を重点管理するかは、その組織の判断によって決めることが可能なのです。

ですから、Pマークを取得しているからといっても、個人の作成した情報が守られている事にはならない(対象外である)。

ISMSの場合は、何を重要な情報資産として規定しているかが不明な場合は全く当てにならない。(一般的な企業においては、経営情報が最も重要度の高い情報資産としている。)

まあ、どちらかを取得しているのであれば、「情報セキュリティーに対する意識は持っている」程度の判定とすることが正しいでしょう。

中には、「両方の認定を受けている。ダブル取得!」を売りにしている業者も存在しますが、公式認証取得の数を売りにするのは、少しばかり安易過ぎるのではないでしょうか。

更に、「個人情報保護士」を宣伝文句にしている業者もあるようだが、「個人情報保護士」とは公的な資格ではなく、「個人情報保護法に従った個人情報の概念や保護対策の体系的な理解」及び「企業実務において個人情報の管理・運用を行うことのできる知識や能力」を持っていることを確認する試験に合格した人に与えられる「私的な資格」であり、広義な「情報セキュリティー」に対しては何を証明するものでは無いことを知っておくことが大切である。

関連サイト:
プライバシーマーク制度
情報マネジメントシステム推進センター

-未分類
-, ,

Copyright© HAYATO.NET , 2024 AllRights Reserved Powered by STINGER.