プライバシーマークの主目的は「個人の権利保護」です。
個人情報の持ち主である個人が、自分の情報を自らコントロールできる権利「プライバシー権」を保護するという考え方です。
それに対して、ISMSの主目的は「組織と顧客の存続」です。
組織が保有する情報資産について、脅威やぜい弱性の認識、リスクを軽減する対策を講じることが目的。
ISMSは自社を守るためのフレームワークであり、顧客の個人情報の保護は自社の保護の延長線にあります。
このようにプライバシーマークとISMSとは考え方が全く違うものなのです。
| ISMS | プライバシーマーク | |
|---|---|---|
| 規格 | 国際標準規格 ISO/IEC27001:2005 日本工業規格 JISQ27001:2006 |
日本工業規格 JISQ15001:2006 |
| 対象 | ・適用範囲内の全ての情報資産全般 ・事業所単位、部門単位、事業単位も可 |
・企業内のすべての個人情報 ・企業全体 |
| 要求 | 情報の機密性・完全性・可用性の維持(情報資産の重要性、リスクに応じた適切な情報セキュリティ) ※個人情報については、個人情報保護法および契約上の要求事項の順守が求められる。 |
適切な個人情報の取り扱い(個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応など) ※個人情報保護法を包括する厳格な取り扱いが求められる。 |
| 更新 | 毎年の継続審査&3年毎の更新 | 2年毎 |
| 相互認証 | IAF加盟の数十カ国の認定機関間で相互認証 | 中国・大連市のソフトウェア産業協会「PIPA制度」と相互認証 |
| セキュリティ対策 | 133項目の詳細管理策 | 合理的な安全対策 |
| 取引の主体 | B to B | B to C |
近年、IT化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。
ISMSでは、情報セキュリティの主な3要素について次のように定義している。
| 情報セキュリティ | |
|---|---|
| 情報の機密性、完全性及び可用性の維持 | |
| 気密性 | 許可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性 |
| 完全性 | 正確さ及び完全さの特性 |
| 可用性 | 許可されたエンティティが要求したときに、アクセス及び使用が可能である特性 |
JIS Q 27001(ISO/IEC 27001)は、ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されている。
ISMSの確立及び実施について、それをどのように実現するかという方法ではなく、組織が何を行うべきかを主として記述している。この規格は以下のために用いることができる。
JIS Q 27001では、組織は、自らのニーズ及び目的、情報セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模及び構造を考慮して、ISMSの確立及び実施を行う。これは、多くの情報を取り扱うようになっている、現代の組織のマネジメント及び業務プロセスを取り巻くリスクの変化に対応できるように、組織基盤を構築する抜本的な業務改革をする目的に適している。
JIS Q 27001は、情報セキュリティ要求事項を満たす組織の能力を、パフォーマンス評価及び内部監査などにより、組織の内部で評価する基準としても、第二者監査・第三者監査といわれる、外部関係者が評価するための基準としても用いることができる。
JIS Q 27001:2014は、ISOのマネジメントシステム規格(MSS)の共通要素を適用して開発されたマネジメントシステム規格となっており、その上で、情報セキュリティに不可欠なISMS固有の要求事項が規定されている。
そのため、以下の通り、本文はMSS共通の構成となっている。
2012年5月に発行された「ISO/IEC 専門業務用指針 第1部 統合版ISO補足指針」の「附属書SL(規定)マネジメントシステム規格の提案」に規定されている、「合意形成され、統一された、上位構造、共通の中核となるテキスト、並びに共通用語及び中核となる定義」である。これを示すことによって、マネジメントシステム規格 (MSS:Management System Standards)の一貫性及び整合性を向上させることがその狙いである。なお、今後すべてのMSSはこの附属書SLを適用することになった。
JIS Q 27001:2014は、どのような組織であっても必ず適用させる事が必要な要求事項(本文)と、事業の特性により適用除外が可能である要求事項(附属書Aの管理策)で構成されており、広く利用可能な基準としてあらゆる組織に適用できるよう配慮されている。
リスクを内包した情報及び情報に関連する資産を保護するには、それらがもつ価値や脅威、ぜい弱性などのリスクの源を明らかにし、リスクの大小を判別して適切な対策を講じなければならない。安易な適用除外または理由の明確でない適用は、マネジメントシステムの一貫性に大きな影響を与えるためである。
適用理由が特定されていることの明示とともに、以下に例示するような「除外の原則」を定め、ある要求事項について条件が全て満たされる場合にのみ適用を除外するなど適切な判断が求められる。
このような適用理由、及び適用除外の理由は、適用宣言書に記載することが求められる。適用宣言書とは、ISMSに関連してその組織が適用する管理目的及び管理策を記述した、文書化された情報である。適用宣言書には、適用した結果とその理由、適用しない場合にもその理由を明記する。また、組織で必要と判断した管理策が、附属書Aの詳細管理策の項目には無く、他の任意の情報源の中から独自に追加した場合は、その内容と理由についても記述する。
このようにして作成された適用宣言書は、組織がISMSを確立、実施、運用、継続的に改善するために適用した情報セキュリティ管理策を表明するものであり、特定の利害関係者に開示又は交換することによって、ISOという共通言語に基づいたセキュリティレベルの確認ができ、情報セキュリティを維持しているという信頼の保持にもつながる。
(引用 : 一般社団法人日本情報経済社会推進協会(JIPDEC)) https://www.isms.jipdec.or.jp