 |
|
|
個人情報保護法対策の「証明」ISMSやPマークを効率的に取得するには(2004.12.14)
2005年4月から個人情報保護法が完全施行される。いよいよ残すところ5カ月となり、今、多くの企業が「自社の情報セキュリティ対策をどうすべきか」に頭を悩ませているだろう。そのような状況の中、日本ネットワークセキュリティ協会(JSNA)が「Network Security Forum 2004」を開催した。個人情報保護法対策の基本的な考え方から「今、取り組むべき緊急課題」まで、講演内容を抜粋して紹介しよう。
●PマークやISMSへの取り組みが個人情報保護法対策に結びつく
多くの企業が日々、個人情報保護法対策に取り組んでいる。そんな状況の中で「当社は○○○で個人情報保護対策を実施しています」と胸を張って宣言できる、そんな「対策の証明」とも呼べるものがあれば、企業は安心して2005年の4月1日を迎えられるだろう。大塚商会・テクニカルソリューションセンターの佐藤憲一氏は、その講演「ISMS認定/Pマークを早く安く取得するポイント」の中で、個人情報保護法を「Pマーク制度の根本であるJIS Q 15001とISMS認定制度の根本となるJIS X 5080をベースにして構築されているもの」と分析し、「だからこそ、個人情報保護法対策はPマークやISMSの取得の近道であり、同時にPマークやISMSの取得は個人情報保護法対策の証明ともなる」と指摘した。佐藤氏は、NPO 日本ネットワークセキュリティ協会の個人情報保護ガイドライン作成ワーキンググループのリーダーでもある。実践的なガイドラインを作成してきた立場からの講演は、個人情報保護対策に取り組む多くの企業担当者にとって有益なものであった。
佐藤氏は、まず、個人情報保護法対策に関連した多くのセミナーや講演、勉強会などに参加した経験をふまえ、「よく耳にするのが『PDCAサイクルを確立して実践しましょう』といったこと。しかし、多くの企業は『P』つまりプランをどう立案したらいいのかというレベルでつまずいてしまうはず」とし、理論や理屈だけに惑わされないことの重要性に触れた。続けて、「あと5カ月となった個人情報保護対策では、プランの立案からではなく、たとえば、現状をチェックする『C』からスタートするなど、今、できるところから着手するのもひとつの効率的な方法である」と述べ、「個人情報保護法対策とPマークやISMS取得の作業フローはほぼ同じ。PマークやISMSを効率よく取得しようとする取り組みこそが個人情報保護法対策に結びつく」と実際の現場に即した対策を強調した。
佐藤氏は、大塚商会が個人情報保護法対策のコンサルティングを実施していることなども織りまぜながら、「個人情報保護法対策としてPマークを取得しようとする企業、まず、ISMSを取得し、次にPマークを取得して個人情報保護法対策とする企業、ISMSもPマークも同時取得するという企業の3パターンがある」と語り、いずれの場合も取得には最低でも3カ月程度の準備期間が必要であること、取得に向けては、社員200名規模の企業で最低2名、100名増えるごとに1名を追加するかたちでの専任担当者を配置するが不可欠であることなどを指摘した。
【執筆:下玉利 尚明】
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
|
|
    |
|
|