ISO27001
COLUMNISO規格の知識コラム(ISO27001)
JIS Q 15001(ISO15001)とは、個人情報の保護を目的とした、個人情報の適切な管理のためのマネジメントシステムの要求事項を定取り決めた規格です。
近年、情報通信技術が発展を続ける中で個人情報保護に関わる事や個人情報の取り扱いは非常に重要視されており、各組織には適切な対応が求められます。
JIS Q 15001(ISO15001)を用いて社内体制の整備を実施することで、効果的であり、かつ効率的な個人情報の管理を行う事が出来ます。
本記事では、JIS Q 15001(ISO15001)について詳しくご紹介致します。
目次
JIS Q 15001(ISO15001)とは、組織が業務上取り扱う個人情報を安全で適切に管理するための標準となるための一般財団法人日本規格協会によって策定された日本産業規格の一つで、個人情報の保護を目的として、個人情報の適切な管理を実施するためのマネジメントシステムの要求事項を定めた規格です。
また、個人情報保護マネジメントシステムは、個人情報保護の体制を整えて、PDCAサイクル(計画→実行→監査→改善)を繰り返して、継続的な改善を促す仕組みのことです。
個人情報保護マネジメントシステムの継続的な維持によって、個人情報保護の要求事項を満たす能力があるかを評価することを目的としており、第三者認証制度のプライバシーマークでは、JIS Q 15001(ISO15001)の要求事項を満たすことが取得条件となっています。
組織として活動する上で、ほぼ全ての組織が組織内外の様々な個人情報を取り扱います。
JIS Q 15001(ISO15001)は個人情報を取り扱うあらゆる種類・規模の組織が利用し、認証を取得することができます。
プライバシーマーク(Pマーク)制度では、審査基準があり、それがJIS Q 15001(ISO15001)になります。
実際にJIS規格の表紙にも「個人情報保護マネジメントシステム-要求事項」と記載されています。
プライバシーマーク(Pマーク)とは、個人情報保護体制に関する認証です。
審査機関による審査を受け、合格となった企業に付与されるマークになっています。
有効期間は2年なので、維持するには2年に1度審査を受け、更新する必要があります。
JIS Q 15001(ISO15001)の尊守により、「個人情報保護法を適切に守っている組織」として社外にその指針を示すことが可能になります。
PDCAの仕組みを継続して活用することにより、組織は個人情報保護のレベルを継続し向上させていくことができます。
メリットとして次の3点が挙げられます。
JIS Q 15001(ISO15001)と個人情報保護法は類似する部分はあれど別物となります。
個人情報保護法は、プライバシーマーク(Pマーク)の有無に関わらず、「事業者が守るべき内容」となります。
それに対し、JIS Q 15001(ISO15001)は、個人情報保護法を踏まえた上で組織として作るべきルール・運用を含めています。
要求の多さで考えれば、個人情報保護法よりJIS Q 15001(ISO15001)の方が厳しいのではないかと見受けられます。
プライバシーマークと比較される機会が多いのがISO27001(ISMS)という規格です。
ここではプライバシーマークとISO27001(ISMS)についてご説明いたします。
JIS Q 15001(ISO15001)の規格に基づいている個人情報保護マネジメントシステム。
インターネットの発展やITの普及に伴い、個人情報の適切な管理や個人の権利・利益の保護は、企業・組織においては社会的責任となり、また重要な課題の1つになっています。
一般的に、Pマークの取得は、自社を対外的にアピールすることや、顧客及び取引先との信頼関係をより向上させる・信頼関係を強固とするためにPマークを取得するケースが多いです。
ISO27001の規格に基づいている情報セキュリティマネジメントシステム。
企業・組織は、「機密性・完全性・可用性」をバランスよく維持・改善し、リスクを適切にマネジメントしながら組織の抱える情報資産を適切に管理できる体制を整備すること、そして情報流出やサイバー攻撃など情報セキュリティ対策の一環として、ISMSを導入します。
JIS Q 15001(ISO15001)とISO27001について、規格名は少し似ていますが、制定の大元が異なるため、規格・審査内容もそれぞれ異なります。
今回はJIS Q 15001(ISO15001)とはどんな規格であるのか、ご紹介させていただきました。
ここまでお読みいただきありがとうございます。
特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。
情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。
そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。
「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。
「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。
ISO27001(ISMS)を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。
情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。
そのため、行政の入札や大手顧客との取引でISO27001(ISMS)の取得が必須要件とされることが非常に増えてきています。
ISO27001(ISMS)は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
お客様はもちろん会社にも貢献できるよう精進してまいります。 日々の審査を通じより一層知識を身に着け、お客様に満足いただける審査を行っていきたいと思っております。
お問い合わせはこちら