ISO27001
COLUMNISO規格の知識コラム(ISO27001)
ISO15001とは、個人情報の保護を目的として、個人情報を適切に管理するためのマネジメントシステムの要求事項を定めた規格です。
昨今、情報通信技術が発展を続ける中で個人情報保護はより重要視されており、各組織には適切な対応が求められています。
ISO15001を用いて社内体制を整備することで、効果的かつ効率的な個人情報の管理を行うことができます。
本記事では、ISO15001について詳しくご紹介致します。
目次
ISO15001とは、組織が業務上取り扱う個人情報を安全で適切に管理するための標準となるための一般財団法人日本規格協会によって策定された日本産業規格の一つで、個人情報の保護を目的として、個人情報を適切に管理するためのマネジメントシステムの要求事項を定めた規格です。
また、個人情報保護マネジメントシステムは、個人情報保護の体制を整えて、PDCAサイクル(計画→実行→監査→改善)を繰り返して、継続的な改善を促す仕組みのことです。
個人情報保護マネジメントシステムの継続的な維持によって、個人情報保護の要求事項を満たす能力があるかを評価することを目的としており、第三者認証制度のプライバシーマークでは、ISO15001の要求事項を満たすことが取得条件となっています。
組織として活動する上で、ほとんど全ての組織が内外のさまざまな個人情報を取り扱います。
ISO15001は個人情報を取り扱うあらゆる種類・規模の組織が利用し、認証を取得することができます。
プライバシーマーク(Pマーク)制度では、審査基準があり、それがISO15001になります。
実際にJIS規格の表紙にも「個人情報保護マネジメントシステム-要求事項」と記載されています。
プライバシーマーク(Pマーク)とは、個人情報保護体制に関する認証です。
審査機関による審査を受け、合格となった企業に付与されるマークになっています。
有効期間は2年なので、維持するには2年に1度審査を受け、更新する必要があります。
ISO15001の尊守により、個人情報保護法を必ず守っている組織として社外にその指針を示すことが可能になります。
PDCAの仕組みの継続した活用により、組織は個人情報保護のレベルを継続して高めていくことができます。
メリットとして次の3点が挙げられます。
ISO15001と個人情報保護法は似ているようで違うものになっています。
個人情報保護法は、あくまでプライバシーマーク(Pマーク)の有無に関わらず、事業者が守るべき内容になります。
それに対して、ISO15001は、個人情報保護法を踏まえて組織として作るべきルール・運用を含めています。
要求の多さで考えれば、個人情報保護法よりISO15001の方が厳しいと考えていただいてよいと思います。
プライバシーマークと比較されやすいのがISO27001(ISMS)という規格です。
ここではプライバシーマークとISO27001(ISMS)についてご説明いたします。
ISO15001の規格に基づいた個人情報保護マネジメントシステム。
インターネットの発展やITの普及により、個人情報の適切な管理および個人の権利や利益の保護は、企業・組織において社会的責任であり、重要課題の1つになっています。
一般的に、Pマークの取得は、自社を外部にアピールする、顧客や取引先との信頼関係をより向上させるためにPマークを取得するケースが多いです。
ISO27001の規格に基づいた情報セキュリティマネジメントシステム。
企業・組織は、「機密性・完全性・可用性」をバランスよく維持・改善し、リスクを適正にマネジメントし適切な情報資産の管理体制を整備すること、および情報流出やサイバー攻撃など情報セキュリティ対策の一環としてISMSを導入します。
ISO15001とISO27001について、規格名は少し似ていますが、制定された大元が異なるため、規格や審査内容もそれぞれ違います。
今回はISO15001とはどんな規格であるのか、ご紹介させていただきました。
ここまでお読みいただきありがとうございます。
特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。
情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。
そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。
「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。
「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。
ISO27001(ISMS)を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。
情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。
そのため、行政の入札や大手顧客との取引でISO27001(ISMS)の取得が必須要件とされることが非常に増えてきています。
ISO27001(ISMS)は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。
SNSでシェアする
株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。
最後までお読みいただきありがとうございました。
お客様はもちろん会社にも貢献できるよう精進してまいります。 日々の審査を通じより一層知識を身に着け、お客様に満足いただける審査を行っていきたいと思っております。
お問い合わせはこちら