ISMS-Pスキームは、日本の個人情報保護法を順守するためにISO/IEC 27001のマネジメントシステムを用い、ISMSのリスク評価の結果からJIS Q 15001の要求事項をマネジメントに取り込むための枠組みを提供するものであり、組織のISMSがPマークとリスク同等性を確保していることの証明を行います。

サイトマップ|サイトポリシープライバシーポリシー

ISMS for Privacy
Home
戻る
 







  ISMSで個人情報を”保護”から”安全な活用”へ!!

個人情報保護を目的としたISMSの導入(ISMS for Privacy)

 ISO/IEC 27001は包括的な情報セキュリティの最適慣行を提供するマネジメントシステムの枠組みとして特に優れた規格です。個人情報の保護についても多くの組織が利用しています。
 ほとんどの情報は事業上の必要性に応じて収集され、有効に利用することを目的として加工され伝達されます。もし機微情報が誤って公開されてしまったならば、そのことが個人の権利を侵害し、大きな問題に発展してしまうかもしれません。しかし、機微な情報だからと言って、情報の機密性ばかりを重視して、安易に可用性(許可されたものが情報にアクセスでき、利用できる特性、アクセスしやすさ、利用しやすさ)を落とすことが出来ないのが現実です。安易に可用性を落とせば、事業運営に悪影響を来たし、なし崩し的に誰もルールを守らなくなり、個人情報保護のマネジメント全体を崩壊させてしまうからです。個人情報保護のマネジメントフレームワークにISO/IEC 27001を活用することは、このようなマネジメントシステムの形骸化を防止する上で有効な手立てです。また、133の管理策は個人情報の安全管理措置として具体的かつ有効な方法を提供しています。これらの管理に加え、JIS Q 15001の要求事項を考慮することで、個人情報の保護に関する法律の19条から23条はもとより、それ以外の条項に対しても適度な管理の幅と深さを持ったマネジメントが可能になります。




Pマークとの同等性を証明!!

ISMS for Privacyは、ISO27001規格にJSI Q 15001の要求事項を上乗せする方法を統制技術研究機構が提唱し、ISMSの認証機関や個人情報保護する枠組みの導入を検討している組織を支援する活動です。組織は、ISO/IEC 27001:2005のリスクマネジメントを活用し、4.2.1 g)の要求※1を上手く使う事でJSI Q 15001の要求事項を無理なく採用することが出来ます。個人情報保護のための管理策の採用は、リスク強度と言う点で、Pマークと同等でなければなりません。一定水準を満たすための管理策の効果的な適用及び、適用除外についても合理性を評価し、ISMS for Privacyは、
Pマークと同等のリスク強度をISMSが有していることを第三者認証機関が証明します。(証明書発行)

 ※1:ISO/IEC 27001:2005 4.2.1 g)の要求では、管理策はこの規格の付属書Aの管理目的及び管理策を採用することとしていますが、組織の固有のリスクに対応するために、それ以外の管理策を導入することも認めています。JIS Q 15001の要求事項は、ISMSのリスク対応を強化する具体的な管理要求が豊富に記載されているため、この組み合わせは、個人情報保護を保護するために有効とされています。

ISMS for Privacyの特徴は、組織のISMSの有効性を汲み取った審査手法の採用であり、各機関の審査品質にバラツキ或いは、低下が生じないようGTOがサポートします。また、本スキーム参加認証機関で作る諮問委員会が自発的にスキームの監視に当たり、認証が社会全体の利益を優先し、有効なサービスで在り続けるために寄与します。

本スキームの詳細は以下をご参照下さい。
GTO27001-Pシリーズ(ISMS for Privacy規格

海外規格への対応
JIS Q 15001のような個人情報保護の規格は、日本以外にも英国の国内規格であるBS 10012:2009が在ります。
英国では、日本よりはるか以前に、個人情報保護へのニーズが高まり、1988年のデータ保護法の制定に至っています。この法律の実施に関する実践的なガイダンスとして発行されたBS 10012は、言わば英国版JIS Q 15001と言えるでしょう。この規格を日本の個人情報保護に適用するのはあまりお勧めではありませんが、海外での適用であれば有効かもしれません。現に台湾では、この規格を参照する企業も出始めていると聞いています。海外展開をお考えで、ISO/IEC 27001とBS 10012との融合を御希望のお客様がございましたら是非お問い合わせください。

ISMS for Privacy関するお問い合わせは、GTO.Info@gto.or.jpにご連絡下さい。

      Copyright (C) 2012 Organization for Governance Technology All Rights Reserved.