ISMS for Privacy | プライバシーマーク | |
根拠基準 | ISO/IEC27001の要求、既存のISO/IEC27001認証制度はそのまま手を加えず、個人情報保護のマネジメントに必要な要素としてJIS Q 15001との統合を定義したもの。国際的な基準で認証取得 | JIS Q 15001=日本国内のみの基準 |
総括 | B2B(同一企業内やグループ間も含む)企業にのみならずB2C企業にも適用できる | ネーミングの分かりやすさから B2C企業に適する |
認証単位 | 工場・支店や部門単位での取得可 | 全社で取得が原則 |
対象情報 | 認証範囲の個人情報を含む重要な情報 | 個人情報(顧客、社員情報を含む) |
ペナルティ | 認証の停止 | 認定の停止、社名をインターネットで2年間公開 |
審査機関 | GTOに認定された認証機関のみ | JIPDEC(一部例外あり) |
審査員 | GTO研修で選別・認定された審査員のみ | JIPDEC職員(一部例外あり) |
コンサルタント | GTO研修で選別・認定されたコンサルタントのみ | 任意 |
アプローチ | まず、適用範囲を定め、その範囲の重要情報(個人情報を含む)を洗い出すリスクマネジメントのアプローチ | 個人情報の収集(取得)から保管・利用、提供、委託や、返却、輸送、破棄などの“ライフサイクル”に対応した“業務フロー的なアプローチ |
構築手順 | 体系的なISO/IEC27001管理策のフレームをベースにJISQ15001の管理策を加える | “合理的な安全対策”を要求しているが、審査員のバラツキがあり不明確で、要求がエスカレーションする傾向がある |
構築費用 | 適用範囲を絞り込み安価に構築が可能。 | 会社単位での取得が原則のため会社規模が大きくなれば費用負担が大きい |
審査費用 | 事業規模に応じた審査工数が適用されるため、50名を超えたあたりから割高感あり | 事業の規模の大小に関わらず、30万円、60万円、120万円の3段階であるため、審査費用は安価 |
運用費用 | 年に少なくとも1回の定期審査があり、また3年毎に更新審査があるため、毎年継続的に費用が発生する。&br;指摘事項は、事業上の保護の要求に見合った指摘であるため、事業上の悪影響は少ない。 | 2年間審査訪問が無く表面に出る維持費用は小さいように見える。しかし、審査での指摘は、事業上の重要性に関わらず一律に管理策の適用が求められるため、効率性を阻害するなどの事業上の悪影響は計り知れない。その為、取得後2年間システム運用をしていないで更新を辞める事例や、更新審査時に、初回と同様の費用を掛け再整備する事例もある。 |