大切な情報を保護するために、
「ISO27001(情報セキュリティマネジメントシステム)」を利用して、
情報管理に高い意識を持った組織づくりを行いましょう。
また、特に個人情報保護への取り組みをアピール制度として
「プライバシーマーク(Pマーク)」というものもあります。
情報を様々な脅威から保護し、事業継続性を確実に、事業の損害を最小限に抑え、
投資に対するリターンと事業機会を最大化することを目的としたマネジメントシステムの国際規格です。
企業の情報資産を保護し、利害関係者の信頼を得るセキュリティ体制の確保に最適のアプローチがISO/IEC27001規格です。
ビジネスのボーダーレス化、情報・通信技術の利用促進などにより、情報漏洩事故によるリスクは格段に高くなり、
事故が発生した時の事後的対応だけでは企業の継続性・収益の維持・競争優位性の確保などに重大な影響を及ぼす事態となります。
最悪の場合、ビジネスを継続できない可能性も考えられます。
情報セキュリティに関する問題に対処するには、あらかじめ社内体制を整備し、もしもに備えておくことが何よりも大切です。
ISO/IEC27001規格の要求事項を満たすことで、情報セキュリティマネジメントシステム(ISMS:Information Security Management Standards)を確立することができ、セキュリティリスクへの体系だった対応が可能となっていきます。
また、構築したISMSを効果的かつ効率的に運用することにより、
会社における情報の利便性を高め「資産」としての価値を高めることができます。
ISO/IEC27001規格には、情報セキュリティ保護を確実にする具体的な管理策(手立て)が広く網羅されています。
また、厳格なリスク分析に基づいたマネジメントプランの立案・必要な資源配分及び運用の監視・
客観的な見直しといったマネジメントリサイクルにより、情報セキュリティを維持することを目指します。
ISO/IEC27001の付属書Aには、管理目的とそれに関係する133の詳細な管理策がリストアップされており、
その組織に合った管理策を取り入れることで、最適な情報セキュリティ体制を構築することができます。
次の11セクションからなります。
①情報セキュリティ(ISMS)基本方針
②情報セキュリティ(ISMS)の組織化
③資産の管理
④人的資源のセキュリティ
⑤物理的及び環境的セキュリティ
⑥通信及び運用管理
⑦アクセス制御
⑧システムの取得、開発及び保守
⑨情報セキュリティ事件・事故の管理
⑩事業継続管理
⑪適合性
ISO/IEC27001規格に沿った、リスク分析をベースにしたアプローチの実施で、
以下のようなメリットを持った組織のセキュリティ管理体制が構築できるようになります。
①適切な要員、資源の配置
情報資産を保護するために最適な人員を配置し、各種資源を適切に配分することができるようになります。
②情報の保護
「機密性」「完全性」「可用性」という総合的な見地から情報を分析し保護することができるようになります。
③コーポレートガバナンス、事業継続体制の構築
コーポレートガバナンスおよび事業継続のための体制を構築することができるようになります。
また、それらの要件を満たしているということを第三者に示すこともできるようになります。
④コンプライアンス体制の構築
関係法令や各種規制へ準拠していることを第三者に示すことができるようになります。
⑤競争優位性の確保
契約要求事項の遵守や情報セキュリティ対策が万全であることの証明など、
顧客に安心感を与えることで、競争力を高めることができるようになります。
⑥第三者の検証による信用性
組織のリスクを適切に識別、評価、管理しているということを第三者に検証してもらうことによって、
信用力を高めることができるようになります。
⑦継続的改善
定期的な審査プロセスにより継続的な監視と改善が可能になります。
⑧経営者のコミットメント
情報セキュリティに対する経営者のコミットメント(確約)を利害関係者等に示すことができるようになります。
これまでの「ISO/IEC27001:2005」に代わって、「ISO/IEC27001:2013」が新しく発行されました。(2013年10月1日)
今回の変更は、各規格の整合性を図るため、マネジメントシステム規格の上位構造を共通化することに特徴がみられます。
「ISO/IEC27001:2013」への移行期間は、規格発行の日から2年間となっています。
そのため、審査のタイミングに合わせて、2014年中か2015年の前半ぐらいで移行しなければなりません。
移行についてもお気軽にご相談ください。
ISO27001を使って、情報セキュリティ体制を強化しながら、マイナンバー制度へも対応していきましょう。
マイナンバー制度にどう対応してよいか、専門家である行政書士が一緒に考えます。お気軽にご相談ください。
JIS Q 15001とは、個人情報保護に関する認証規格のことをいいます。
JIS Q 15001の遵守により、個人情報漏えい等のビジネスリスクを低減し、
顧客やサプライチェーンといった利害関係者に対し信頼や安心を提供することが可能となります。
認証マネジメントシステムを構築する際の国際規約である、ISOガイド72に基づき開発されたJIS Q 15001には、
情報セキュリティのマネジメントシステムであるISO27001(ISMS)と同様に、
マネジメントの手法であるPDCA(「計画:PLAN」「実行:DO」、「点検:CHECK」、「改善:ACT」)サイクルが
採用されています。
JIS Q 15001を取り入れることにより、個人情報保護法を遵守する組織として対外的にその姿勢を示すことになります。
また、PDCAの仕組みを継続的に活用することにより、組織は個人情報保護のレベルを連続して高めていくことが可能です。
JIS Q 15001は次のようなセクション構成となります。
①適用範囲
②用語及び定義
③要求事項
(1)一般要求事項
(2)個人情報保護方針
(3)計画
(4)実施及び運用
(5)個人情報保護マネジメントシステム文書
(6)苦情及び相談への対応
(7)点検
(8)是正処置及び予防措置
(9)事業者の代表者による見直し
認定要件を満たす事業所を「安全性優良事業所」として認定します。
〔認定要件〕
①評価項目(100点満点)の評価点数の合計点が80点以上であること。
②各評価項目において下記の基準点数を満たしていること。
・安全性に対する法令の遵守状況 32点(40点満点)
・事故や違反の状況 21点(40点満点)
③安全性に対する取組の積極性 3点(20点満点)
④法に基づく認可申請、届出、報告事項が適正になされていること。
⑤社会保険等への加入が適正になされていること。
①利害関係者からの信頼の獲得
「個人情報の利用目的による制限、適切な取得、正確・再新性の維持、安全管理策の実施、透明性の確保」という対応策が実施されることで、サプライチェーンなどの利害関係者に対し、組織が個人情報保護に対し高いレベルで対策を講じているということを示すことができるようになります。
②個人情報の取り扱いに関する意識の向上
個人情報保護マネジメントシステム(JIS Q 15001)の導入により個人情報保護方針を組織全体に周知・浸透することできるようになります。組織の個人情報取り扱いに関する意識の向上により、内部脅威によって発生する情報漏えい発生可能性の低減をはかることがでるようになります。
プライバシーマークを使って、情報セキュリティ体制を強化しながら、マイナンバー制度へも対応していきましょう。
マイナンバー制度にどう対応してよいか、専門家である行政書士が一緒に考えます。お気軽にご相談ください。