前回のブログ(2020.4.10アップ『コプロシステムの情報セキュリティ 継続的な管理を行うために』)にて、コプロシステムは「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に基づいた個人情報の保護について、適切な保護措置を講じる体制を整備し、2005年7月にプライバシーマーク付与の認定を受けているという部分について書かせていただきましたが、プライバシーマーク付与認定の2年後2007年4月に、私たちは「JISQ27001 情報セキュリティマネジメントシステム-要求事項」の認証も取得しました。
この情報セキュリティマネジメントシステム(ISMS:Information Security Management System)は、組織における情報資産のセキュリティを管理するための枠組みで、リスクマネジメントのプロセスを組織及び組織のマネジメントに適用することで、情報の機密性、完全性、可用性を維持し、かつリスクを適切に管理することを目的としたものです。
すでにプライバシーマーク付与認定を受けているのに、なぜ更に情報セキュリティマネジメントシステムの認証も取得したのかというと、コプロシステムの業務では、経営的に最も重要な情報資産である個人情報を扱うことはもちろん、それ以外にもクライアントの大切な情報をお預かりすることが多く、セキュリティ管理の対象範囲を広げる必要があったからです。
プライバシーマークだけで社内の情報セキュリティを推進しようとすると、どうしても社員のセキュリティ意識に大きく違いが生じてしまいます。「個人情報」と「個人情報以外」でセキュリティマネジメント上の扱いに違いが出来ることは当然のことである一方、極端な言い方をすれば、「個人情報」はマネジメントシステムの規程に則った管理をしなくてはならないが、「個人情報以外」はそこまでの管理をする必要はないと誤解を与えてしまう心配がありました。
また、マネジメントシステムで情報を管理する際に大切な、リスクアセスメントのアプローチの視点で比較した際も、個人情報保護マネジメントシステムと情報セキュリティマネジメントシステムの2つでは、大きな違いがありました。
情報セキュリティマネジメントシステムでは、『まず社内の情報資産を特定し、特定した情報資産ごとに、リスク特定、リスク分析、リスク評価を行い、必要なリスク対応を実施』します。
一方、個人情報保護マネジメントシステムでは、『個人情報を1つの情報資産として捉えて、その取扱いプロセス(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄)ごとにリスク分析・評価を行い、リスク対応を実施』します。
上記を踏まえコプロシステムの業務を考えた時、『個人情報』という『情報資産のプロセスごとのリスクアセスメント』が重要ではあると同時に、社内に存在する情報資産を守るために『特定した情報資産ごとのリスクアセスメント』というアプローチも必要になります。従って、個人情報保護マネジメントシステムと情報セキュリティマネジメントシステムの両方のリスクアセスメントのアプローチを組織的に実施運用することが必要であると考えました。
また、組織の最高経営者層であるトップマネジメントに対し、マネジメントレビューの定期的な実施・文書による結果の記録に関し考慮しなければならない事項が、情報セキュリティマネジメントシステムの要求事項では明確かつ細かく明記されていたため、マネジメントレビューの定期的実施により、情報セキュリティマネジメントシステムが適切であり、妥当かつ有効であることを、トップマネジメントが確認する仕組みがしっかりと構築されることも大切なポイントとなりました。
以上のような理由により、コプロシステムでは、個人情報保護マネジメントシステムだけでなく情報セキュリティマネジメントシステムを追加した2つのマネジメントシステムで、個人情報とともにクライアントからお預かりした大切な情報もしっかりと管理する体制を構築しています。