NSS株式会社 サービスサイト

各種ISO取得、運用サイト【ISOプロ】

Yahoo検索ランキング1位 イプロスカタログランキング1位

個人情報漏洩のリスクを防止する「ISO27001」

川島雄一

330

この記事は2017年8月31日に更新されました。

ISOとは、国際間での商品やサービスのトレードをスムーズに行うために、守るべき規格について標準化したものです。ISOが重視しているのが品質管理で、各事業が提供する商品やサービスがどれだけ顧客から満足されているものか審査し、認証する規格にもなっています。

即ち、認証取得しているということは、国際間でのトレードをスムーズにできると共に、第三者機関から社会で流通するサービスとして十分な価値があることを意味します。

情報面でも、システム化から考えるISO

ISO規格では、さまざまな分野において、国際審査機関で認証取得し評価をすることになっています。その中には、企業が扱うデータに関するISO27001があります。こちらはISMS(情報セキュリティマネジメントシステム)とも呼ばれており、技術だけに留まらず、会社全体での情報セキュリティ保護に関する考え方や管理システムの向上を促す規格です。

ISO27001を認証取得するためには、審査を受ける際、「要求事項」と呼ばれる規定をクリアする必要があります。

こちらの要求事項は、セキュリティ方法ではなくて、各企業がどのように取得した情報などを保護するのか、リスクにおけるセキュリティ対策の方法や実行記録など企業が認証を受けるためにすべき項目が記述されています。

ISO27001では、基本的に自社で扱う情報に対して、どの情報をどのように対策するのかまですべて自分たちで決めることになっています。

これは、取得した情報に関して「組織活動において影響を与える、価値がある事象」とだけ定義しており、それ以上のことについては特に決まっていることはありません。そのため、自分たちの会社で扱っている個人情報などについて、「どの程度まで情報について理解しており、それを踏まえて保護すべき情報と判断しているのか」という部分を国際機関が審査するからです。

主に、企業が扱うデータとしては書類、電子データ・紙類に保存した経理などのデータ、ソフトウェア関連、パソコン、サーバーなどの機器、企業ノウハウ、特許などが考えられます。

これらのデータについて、各事業がどのように扱うのか判断し、漏洩防止の対策が取れるのかが重要になってくるのです。

万が一認証が通らない場合は全額返金しますISO取得・改訂完全サポート

産業廃棄処理業界が考えるべき情報管理の在り方

現代では、どこから情報が漏洩するかわからない時代となっています。昨今では大手企業でも顧客情報などが漏れ出す事件が多く発生しており、各企業の情報管理体制やリスク対策の重要性は年々増していく一方です。

その中で、各企業のごみなどを処分する、産業廃棄処理業界の情報に対する扱い方のモラルが問われるようになっています。

ごみの中には、他の企業や人からすれば重要な情報である可能性もあります。産業廃棄処理業界では、ISMS(情報セキュリティマネジメントシステム)を活用した情報の漏洩防止、リスク対策が求められます。

各企業や家から出てくるごみには、詳しく調べなくても情報がくみ取れるものがあります。廃棄物を処分する廃棄処理業界だからこそ、ごみを処分する際の方法や、個人情報の取り扱い方をISO27001(ISMS)認証取得によって、システム化することが重要になってくるのです。特に、IT系の会社のごみ処分などを相手にするのであれば、パソコンなどの廃棄なども担当することになり、データの塊を処分する際は、特に神経を張り巡らせる必要があります。

また、ごみの処分自体を隠すべき案件も廃棄処理業界ではあり得る話です。そうしたごみを処分した際、顧客データや利用者の個人情報自体をどのように扱うのかも、廃棄処理業界ではしっかりと取り決めるべき案件となってきます。

ISOとPマークの違いについて

ISOとPマークはよく比較される規格となっています。この2つがよく比較されるのは、情報を守るセキュリティ保護規格となっているからです。

ISO27001では、あらゆる情報資産を審査範囲としています。これに対してPマークは個人情報だけになっています。認証取得単位や審査範囲にも大きな違いがあり、Pマークは企業全体でISO27001については自分たちで決定することができます。

当然、ISOかPマーク、また認証取得範囲により審査や取得費用も変動します。

Pマーク規格においては個人情報の取り扱い方について厳重にチェックすることになっており、派遣会社などでは重要視される規格です。

また、企業でも総務部や人事部門では個人情報の取り扱いは重要になってくるので、重宝されています。これに対してISO27001(ISMS)は、企業秘密や経理情報など多くの情報を問題にします。これらの情報をどのように扱った上で、守るためのリスク対策を打ち出せるのかを大事にしています。

これら2つの規格について、どちらが優れているかというのは一概には言えません。しかし、ISO規格については情報セキュリティシステムの取り扱いを通じて、会社全体が情報に対してどのような姿勢で取り組むのかを見直し、セキュリティマネジメントシステムを作っていきます。

自分たちが取り扱う情報の性質について見極めながら、自社の情報管理の強化につながっていく発想が大事になってくるのです。

見極めが困難であればコンサルティング会社に相談し、どういったリスクがあるのか、どのうようにセキュリティ保護をしていくのか、認証取得時における審査内容や費用などを、概要だけでも確認されることも必要でしょう。

自社内作業で認証取得が困難となれば、コンサルティング会社の費用を比較して、納得がいくサポートを受け認証取得を目指していきましょう。

ISOプロでは月額3万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額3万円からご利用いただけます。

関連する記事・ページ

TOP