個人情報保護と情報セキュリティに関する認定制度の現状 ―プライバシーマークとISMS |
個人情報保護法への関心の高まりから、プライバシーマークとISMSの二つの認定制度が注目されている。大学や学校法人がこれらの認定を取得するケースも出てきた。それぞれどんな制度で、どんな目的があるのかを紹介し、大学が認定を取得する意味などについて考える。 |
|
手法は近いが異なる目的
プライバシーマーク(Pマーク)制度とISMS制度は、共に(財)日本情報処理開発協会による国際的な規格や基準をベースにした認定制度だ。いずれも企業や組織における情報の取り扱いが、PDCAサイクルに則って適切に行われているかどうかを審査するマネジメントシステム規格。従って、情報漏洩などが起きないことを保証するのではなく、起きにくい運営体制になっている、事故が起きた場合の対処方法などがきちんと確立されているなど、情報管理のあり方を保証しているという点では、よく似た制度だ。
しかし、制度のベースにある基本的な考え方は大きく異なる。Pマークの場合は、個人のプライバシーや権利は最大限に保護されなければならないとの立場に立ち、それを守ることを目的として制度設計がなされている。
これに対してISMSの場合は、情報を企業などの組織体が抱える「資産」と捉え、その情報資産に対する安全性(セキュリティ)を高めることを目的としている。取り扱う情報の種類も、Pマークが扱うのは個人情報に限定されるが、ISMSでは個人情報も含む情報一般だ。
この違いが、実際に審査を受ける際の体制づくりにも反映される。例えば、審査対象はPマークが事業者全体であるのに対して、ISMSは事業部門単位に限定できる。個人情報は組織全体で守らなければならないが、資産としての情報であれば、特定の重要資産だけを対象にすればいいからだ。そのためISMSについては、どの大学でもキャンパスや部局、システム単位で限定的に取得している。
情報の取得についても、Pマークでは利用目的の説明と相手の承認を課すなど、非常に厳しい関門を設けているのに対して、ISMSでは、どのように情報を取得するかはセキュリティに関わる問題ではないため、規定はない。
取得した情報の管理のあり方については、重なる部分は多い。ただISMSの場合は、情報の価値とリスクの大きさとを勘案した上で、合理的な管理のあり方を自ら決めることができるのに対して、Pマークの場合は、扱う情報が個人情報であることから、基本的に保護することを前提とした管理体制を構築することになる。
従って大学の場合、受験生や学生の個人情報をいかに大切に扱っているかをアピールしたいのであれば、Pマーク取得に意味がある。一方、保有している情報が漏洩しないように、いかに管理できているかをアピールしたいのであれば、ISMS取得に意味がある。
|