弊社では企業様からお預かりした社員様の情報をはじめ、大量の個人データを取り扱っております。ご存知の通り、2005年4月より個人情報保護法が全面施行されました。これにより、個人情報取扱事業者は今まで以上に個人情報の取り扱い・保管・問い合わせなどに注意を注ぐ必要が出てきました。
一方、多くの企業様が社内業務の効率化を図るためアウトソーシングを推し進めており、個人情報を委託する委託先の選定が重要な課題となりました。
個人情報保護法に関する官庁のガイドラインも整備され、個人情報を委託する場合の要求事項が定められています。企業様が委託先を選定する場合、この水準をクリアしているかどうかをアンケートなどでアウトソーサーに自己診断させるという方法があります。しかし、このような基準をクリアしているかどうかは、本来第三者の目で判断するべきです。
現在、この第三者認定として最も信頼できる認証制度が『プライバシーマーク』(参考:[http://privacymark.jp])です。
この制度が注目を浴びたのは、やはり個人情報保護法の施行に依るところが大きいと言えます。プライバシーマークは個人情報保護法を遵守し、経済産業省のガイドラインを基本にした要求事項「JIS Q15001」を満たしている企業に対して付与される認証制度です。多くの企業様が委託先を選定する基準として、プライバシーマーク認定企業を目安にしています。詳細については「プライバシーマーク制度」サイトをご覧ください。
ところで、社内業務アウトソーシングというのは、委託する情報が個人情報だけに留まるのでしょうか。実際、弊社においても企業様からお預かりする情報は個人情報だけではありません。一時的にお預かりする機密レベルの高い情報、社外秘レベルの情報など、機密保持契約を結び弊社で管理しているケースもあります。
企業としては、個人情報の管理はプライバシーマークの認定ではかれるのですが、あらゆる情報を管理する体制を第三者が認証するような制度がないのかという事が、アウトソーシング先を検討するポイントになります。
そこで登場するのが『情報セキュリティマネージメントシステム適合評価制度』(参考:[http://www.isms.jipdec.jp])でしょう。
この制度の基本となっているのは英国規格である『ISO/IEC27001』です。「ISO/IEC27001」は英国規格「BS7799-2」を基に、2005年に国際規格化された、情報セキュリティマネジメントシステム(以下ISMS)の認証基準です。
日本ではこの国際規格を日本語化した『JISQ27001』を、2006年5月に発行しました。プライバシーマークの認定機関である『日本情報処理開発協会(JIPDEC)』は、これまで「BS7799-2」を基に独自の日本規格「ISMS 認証基準」を用いてISMS認証制度を実施していましたが、2005年5月からは「JISQ27001(ISO/IEC27001)」に基づく認証制度となりました。
情報セキュリティの認証制度なら「ISMS 適合評価制度」というのは国内では広く認知され、情報セキュリティを社会的に取り組んでいる多くの企業が認証取得を目指しています。認証基準が国際標準である「ISO/IEC27001」となったことで、「ISMS 適合評価制度」は、今後さらに注目されるようになるでしょう。
| 2006 | 3 / 23 | ISO/IEC 27001 認証 |
| 8 / 29 | プライバシーマーク認定 |
今後とも、お客様の大切な情報を守るために、情報セキュリティへの積極的な取組み・改善を推進してまいります。
