『個人情報保護に関する第三者認証制度 vol.1』
“情報セキュリティ”、“コンプライアンス”と聞いて何を連想しますか?
“営業秘密の保護”という意見もあると思いますが、多くは、おそらく“個人情報の保護”と連想される方が多いのではないでしょうか。社内で取扱う個人情報の種類、件数に関わらず、情報セキュリティ・コンプライアンスにおいて“個人情報の保護”は一丁目一番地の取組みと言えるでしょう。“個人情報の保護”は業種、業態、規模を問わずすべての企業が「個人情報の保護に関する法律」に従い取り組まなければなりません。まさに情報セキュリティ・コンプライアンスなわけであります。そんな“個人情報の保護”皆さんの会社ではどのような取組みを行っていますか。
個人情報を保護するためには、取扱っている個人情報の種類や件数等を把握する必要があるでしょうし、取扱い方法や保管方法、これらに対するリスクを把握し、対策を適切に行う必要もあるでしょう。これらの個人情報を保護するための取組みをより確実に行うために、通信販売業や印刷業等のとくに多くの個人情報を取扱う企業では、個人情報保護に関する第三者認証を取得しているケースもあります。第三者認証制度の定期的な審査を受けることにより、変化するリスクや最新のセキュリティリスクへの対応、セキュリティ対策の形骸化を防ぐ、従業員の意識を維持または向上する等々を徹底しようというのです。そんな個人情報の保護に関連する第三者認証制度は、いくつかありますが、主に以下の4つが挙げられます。
“認証制度名” “管理対象” “審査基準”
・プライバシーマーク 個人情報 JIS Q 15001
・ISO/IEC 27001 個人情報及び資産、サービス JIS Q 27001
・JAPHICマーク 個人情報 個人情報保護法ガイドライン
マイナンバー法ガイドライン
・TRUSTe WEB上で取扱う個人情報 OECDプライバシーガイドライン
これらの取組みの違いについて詳しくお話をしたいところでありますが、より一層の長文になりそうですので、今回はこの辺りでおしまいです。次回、これらの第三者認証制度について解説いたします。TRUSTeのみ“WEB上”という少々限定的な取組みになるといったところでしょうか。
情報セキュリティ・コンプライアンスの一丁目一番地“個人情報の保護”。いまさら感が強いように感じられるかもしれませんが、個人情報漏えいに関する事件や事故は、報道にあがらないだけで、実は頻繁に起きています。皆さんの会社の個人情報の保護に関する取組み、いかがですか。この機会に今一度、確認してみてはいかがでしょうか。このお話が皆さんのお役に立ちましたら幸いです。