目次
企業におけるプライバシーの保護について考えてみましょう。
企業におけるプライバシーは、大きく分けると2種類あります。
- 顧客・取引先という社外のプライバシー
- 役員・社員という社内のプライバシー
企業が取り組むプライバシー保護のための二つの資格
企業がプライバシー保護に取り組む場合、ある規格に基づいて取り組むことが多いと思います。
正直に言えば、どうやってプライバシーを保護したら良いのかわからないから、規格を参考にして社内規定を整備するということでしょうか。
企業がプライバシー保護のために取得可能な資格は、以下の2種類だと思います。
- プライバシーマーク
- 情報セキュリティマネジメントシステム(ISMS)
プライバシーマーク
JIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)に適合した個人情報保護体制を運用可能な状態した会社を認証する制度。
情報セキュリティマネジメントシステム(ISMS)
ISO27001(JIS Q 27001)に基づき社内情報セキュリティ体制を構築し、認証機関の認証を得る制度です。
対象は社内の情報全てであり、企業が必要に応じ、対象とする組織、情報を指定いく。もし、重要な情報として企業が個人のプライバシーを指定している場合は、プライバシーマークと同様に個人のプライバシーも保護の対象となる。
どっちの資格がいいの?
個人のプライバシーを守るということ、およびそれを社外にアピールするという点ではプライバシーマークの方が効果があります。
一般の人はISMSなんて言われてもよくわかりませんし、JIS Q27001って言ってもJISだけになって「それって品質管理でしょ?」になりますから。
ただし、ISMSは組織としてどうやって情報セキュリティに取り組むのか、という観点から対応することになります。
企業にはISMSがお勧め
個人情報の漏洩が企業活動に多大な営業を与える場合は、組織全体全体で取り組むという姿勢の確立のために、ISMSを主とすることをお勧めします。
資格を取得しても秘密漏洩は起こりうる
どちらの資格を取得も、秘密を漏洩しないために定められたJIS規格への適合状況により資格を与えられるものです。
したがって、企業の状況によっては、規則に従って企業活動をしていたとしても、情報漏洩は起こり売ります。
ISMSの場合、情報漏洩を分析し、それを組織にどうやって生かしていくのか、という考え方がありますが、100%の機密を保証しているわけではありません。
プライバシーマークは、これを取得しているから個人情報をきちんと扱える、みたいな取り扱いをされていますが、情報漏洩は起こり得ます。
More from my site
会社のセキュリティ対策は、情報ネットワークだけでは不十分です。
会社の情報漏洩は、パソコンだけではありません。
現代は、スマホなどを使った企業での盗聴、盗撮による情報漏洩が多くなっています。
ライバル企業が妙に自分たちの情報に詳しい、社内から盗難の申告が増えた、顧客からの苦情が増えた、長年の顧客から契約を打ち切られた・・・
それは、盗撮や盗聴で情報が漏洩しているからかもしれません。