視点
PマークかISMSか
2005/01/17 16:41
週刊BCN 2005年01月17日vol.1072掲載
民間事業者を対象とした個人情報保護法(平成15年法律第57号)が2005年4月1日に施行される。これに伴って、中堅・中小の請負事業者の個人情報の安全対策が盛んに行われている。
万一、委託先で個人データの漏えいが起こった場合、発注主の監督責任が問われる。このことから、大手企業・団体の発注主が、個人データを扱う業務を委託する場合は、安全対策実施が条件であると言い出したからである。
5001人以上の個人データを取り扱う事業者が個人データを扱う業務を委託先に発注する場合、監督義務を果たすために、委託先にもセキュリティ対策の実施を求めることになる。この委託は5001人以上の量かを問わない。その再委託先、再々委託先も同じで、芋づる式にこれが要求される。
消費者などの顧客視点で考えれば、どこで漏えいしても同様に迷惑するわけで、すべての委託先を監督して欲しいと願うのは当然で、それに応えた形だ。
委託を請けて個人データを取り扱う請負事業者が、個人データの安全対策を実施し、それを第3者に証明する方法としては、2つの方法がある。プライバシーマーク(Pマーク:日本情報処理開発協会が個人情報保護の運用を認定した証として付与するマーク)とISMS(情報セキュリティマネジメントシステム)認証である。どちらかで悩む会社が多い。
委託を請けて個人データを取り扱う請負事業者は、個人情報保護法の第20条の安全管理、第21条の従業員の監督、第22条の委託先の監督、が義務になる。これへの、Pマーク、ISMSでの対応を次に示す。
Pマークでは、Pマークの前提のJIS Q 15001規格の、4.4.4.2の安全性の確保、4.4.4.3委託処理、4.4.6教育の要求事項に沿って安全策を講じる。
ISMS認証取得では、詳細管理策の127個(この詳細はJIS X 5080参照)に沿って安全策を講じる。
したがって、PマークとISMSの比較では、その安全策に対する127個もの詳細な管理策のガイドを挙げてあるISMSの方が確かであるといえる。
自社で、自ら個人情報を5001人分以上収集して、その個人データをデータベースとして保有している場合は、Pマークである。この場合を除いて、委託を請けて個人データを取り扱う請負事業者の場合、PマークかISMSかを悩むこと自体無駄であり、ISMSに即決すべきである。
万一、委託先で個人データの漏えいが起こった場合、発注主の監督責任が問われる。このことから、大手企業・団体の発注主が、個人データを扱う業務を委託する場合は、安全対策実施が条件であると言い出したからである。
5001人以上の個人データを取り扱う事業者が個人データを扱う業務を委託先に発注する場合、監督義務を果たすために、委託先にもセキュリティ対策の実施を求めることになる。この委託は5001人以上の量かを問わない。その再委託先、再々委託先も同じで、芋づる式にこれが要求される。
消費者などの顧客視点で考えれば、どこで漏えいしても同様に迷惑するわけで、すべての委託先を監督して欲しいと願うのは当然で、それに応えた形だ。
委託を請けて個人データを取り扱う請負事業者が、個人データの安全対策を実施し、それを第3者に証明する方法としては、2つの方法がある。プライバシーマーク(Pマーク:日本情報処理開発協会が個人情報保護の運用を認定した証として付与するマーク)とISMS(情報セキュリティマネジメントシステム)認証である。どちらかで悩む会社が多い。
委託を請けて個人データを取り扱う請負事業者は、個人情報保護法の第20条の安全管理、第21条の従業員の監督、第22条の委託先の監督、が義務になる。これへの、Pマーク、ISMSでの対応を次に示す。
Pマークでは、Pマークの前提のJIS Q 15001規格の、4.4.4.2の安全性の確保、4.4.4.3委託処理、4.4.6教育の要求事項に沿って安全策を講じる。
ISMS認証取得では、詳細管理策の127個(この詳細はJIS X 5080参照)に沿って安全策を講じる。
したがって、PマークとISMSの比較では、その安全策に対する127個もの詳細な管理策のガイドを挙げてあるISMSの方が確かであるといえる。
自社で、自ら個人情報を5001人分以上収集して、その個人データをデータベースとして保有している場合は、Pマークである。この場合を除いて、委託を請けて個人データを取り扱う請負事業者の場合、PマークかISMSかを悩むこと自体無駄であり、ISMSに即決すべきである。
- 1
