ページの先頭です。

2005/01/17 11:00

連載

[週刊BCN 2005年01月17日付 Vol.1072 掲載]

PマークかISMSか
TBCソリューションズ主任コンサルタント 植野俊雄

 民間事業者を対象とした個人情報保護法(平成15年法律第57号)が2005年4月1日に施行される。これに伴って、中堅・中小の請負事業者の個人情報の安全対策が盛んに行われている。

 万一、委託先で個人データの漏えいが起こった場合、発注主の監督責任が問われる。このことから、大手企業・団体の発注主が、個人データを扱う業務を委託する場合は、安全対策実施が条件であると言い出したからである。

 5001人以上の個人データを取り扱う事業者が個人データを扱う業務を委託先に発注する場合、監督義務を果たすために、委託先にもセキュリティ対策の実施を求めることになる。この委託は5001人以上の量かを問わない。その再委託先、再々委託先も同じで、芋づる式にこれが要求される。

 消費者などの顧客視点で考えれば、どこで漏えいしても同様に迷惑するわけで、すべての委託先を監督して欲しいと願うのは当然で、それに応えた形だ。

 委託を請けて個人データを取り扱う請負事業者が、個人データの安全対策を実施し、それを第3者に証明する方法としては、2つの方法がある。プライバシーマーク(Pマーク:日本情報処理開発協会が個人情報保護の運用を認定した証として付与するマーク)とISMS(情報セキュリティマネジメントシステム)認証である。どちらかで悩む会社が多い。

 委託を請けて個人データを取り扱う請負事業者は、個人情報保護法の第20条の安全管理、第21条の従業員の監督、第22条の委託先の監督、が義務になる。これへの、Pマーク、ISMSでの対応を次に示す。

 Pマークでは、Pマークの前提のJIS Q 15001規格の、4.4.4.2の安全性の確保、4.4.4.3委託処理、4.4.6教育の要求事項に沿って安全策を講じる。

 ISMS認証取得では、詳細管理策の127個(この詳細はJIS X 5080参照)に沿って安全策を講じる。

 したがって、PマークとISMSの比較では、その安全策に対する127個もの詳細な管理策のガイドを挙げてあるISMSの方が確かであるといえる。

 自社で、自ら個人情報を5001人分以上収集して、その個人データをデータベースとして保有している場合は、Pマークである。この場合を除いて、委託を請けて個人データを取り扱う請負事業者の場合、PマークかISMSかを悩むこと自体無駄であり、ISMSに即決すべきである。

■おすすめの記事





PR

週刊BCN購読のお申し込みはこちら

Bizline会員サービス(無料)のご案内 新規会員登録はこちら

 

PR










ITジュニアの広場

「ITセミナー・イベント」コーナーで注目商品・サービスなどのセミナーを一挙公開!

過去の掲載記事一覧

ITビジネス情報紙「週刊BCN」

ITビジネス情報誌「週刊BCN」
2016年09月12日付 vol.1644
失敗をどう乗り越えるのか オープンイノベーションへ! SIerの挑戦

2016年09月12日付 vol.1644 失敗をどう乗り越えるのか オープンイノベーションへ! SIerの挑戦

「週刊BCN」購読お申し込み
BCN Bizline ITを売るパートナービジネスの創造を

「BCN Bizline」は、株式会社BCNが保有する登録商標です。(商標登録番号第5388735号)