対象:ISO・規格認証
回答数: 1件
回答数: 5件
回答数: 1件
回答:2件
道廣 和男
ISOコンサルタント
-
プライバシーマークに絞った目的は有りますか?
こんにちは!
今回のご質問ですが、コンサルティング業界の裏話も含めてお話したいと思います。
まずは、『外部からの信頼を得るため』と書かれていますが、プライバシーマークを何のために取得しますか?
業界が全く判りませんので、適当なことはかけませんが、個人情報のみを取り扱っている組織で有ればプライバシーマークでも取得メリットはあるかも知れません。
但し、個人情報保護法を順守することは法令ですので、順守しているのは当たりまえです。そのため、認証取得しても、普通にやっていることをJIPDECが、『一日の審査で、適合している』と判断するのみです。これを組織がどのように考えるかは自由です。しかし、社内にリスクが存在しており、外的圧力を使って改善するので有れば効果が有るかもしれません。ほとんどの方は、面倒くさいと言われています。
個人情報のみを取り扱っている組織で、リスクアセスメントをして、情報資に対する理論武装をしながら、セキュリティに関わるマネジメントシステムを導入するのであれば、情報セキュリティマネジメントシステム(ISO27001)を推奨致します。この規格は、組織の情報資産を洗い出し、それに対して資産価値を決めて、リスク水準に合わせて対策を図れるので、実利が大きいと思います。
また、会社全体に傘をかけて改善することが出来る万能に近い規格です。
やはり、会社の業務内容に合わせて導入する規格を決める方が良いと言われています。
補足
一部修正ですが、本文中段あたりの『個人情報のみを取り扱っている組織』 → 『個人情報以外にも多くの情報を取り扱っている組織』に読み替えてください。 内容の不整合が有りました。
以下は続きです。
コンサルタント各社は、受注を優先するため、何とか商談することを優先します。そのため、明確な戦略が無く、このようなプライバシーマークの取得をしてしまうと『大企業のような緻密なルール』になり、『組織の規模にマッチングしたルール』にならず、本業に影響が出て返上している例を多く見受けられます。
この部分をよく考えて取得判断いただきたいと考えます。
それから、コンサルタントを活用する例があります。コンサルタントの影響で重装備な仕組みを作ってしまう可能性があります。コンサルティング費用なんか、皆さんの給与に比べたら安いものです。重武装の仕組みを作ってしますとコンサルティング費用も無駄になりますし、本業を圧迫する事例も良くあります。そうなるとプライバシーマークで仕事が増えます。
プライバシーマークに対する費用とその効果を計算したうえで、導入検討することをお勧めします。
可能なら、法令順守は適切に対応をして、認証取得は客先要求が有った時点で行っても良いかも知れません。一般的には面倒くさくなるケースがほとんどです。
ご参考になれば幸いです。
持田 勝見
ISOコンサルタント
1
プライバシーマーク取得に何を期待するかが問題です。
一般的に、プライバシーマーク(以下、Pマーク)取得をする動機(目的)として次のような事があげられます。
(1)取引先要求等によりPマーク取得が必須のビジネス要件となった。
(2)業務上個人情報を大量に扱うため事件・事故発生のリスクが大きいので対策を講じたい。
(3)個人情報を大量に扱うわけではないが、個人情報を含む重要情報を安全に管理する仕組み(マネジメントシステム)を作りたい。
(1)の場合はビジネス要件になっていますから取得必須ということでしょうか。
一般に情報漏洩などの事件・事故は自社だけの努力では防ぎきれず、業務委託先等の情報をやりとりする協力会社等でも同じようなレベルで対策をしてもらう必要があるのです。
(2)の場合は、リスク低減のための各種安全管理策(紙情報とIT情報)を含むマネジメントシステム構築の手段としておおいにメリットありと言えます。
(3)の場合は情報の安全管理とともにマネジメントシステム導入でより体系的な経営のやり方に変えられるメリットが期待できます。(ISO等を導入していない組織の場合です)
重要なのはPマーク取得後に効率的にシステム運用をするためにできるだけシンプルな仕組みを構築することです。ISO27001でもほぼ同じ目的が達成できますが、一般論としてPマークより重い仕組みになることと審査を含む維持費用が割高になるといえましょう。
(現在のポイント:2pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング