ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

ISMSとPマークの守備範囲

2009/07/13 (2010/08/18)


ISMS(情報セキュリティマネジメントシステム)では、保護すべき情報資産として、「組織として守るべき価値があるもの」を指します。
これらは、情報、ハードウエア、ソフトウエア、サービス等に分類され、PCやサーバーなどの「物理資産」だけでなく、ユーザマニュアルやデータファイル、紙文書などの「情報」、アプリケーションソフトや開発ツールなどの「ソフトウェア」、計算処理サービスなどの「サービス」、サーバー室の空調や電源などの「ユーテリイティ」、情報サービスの加入者など「人」などが含まれます。
また、プライバシーマーク制度で扱う「個人情報」も情報資産の一つとして管理、保護する対象となります。
しかし、ISMSがプライバシーマーク制度を網羅しているのかというと若干の違いがあります。
プライバシーマーク制度では、個人情報の保護はもちろんのこと、JIS Q 15001(個人情報保護に関するコンプイアンス・プログラムの要求事項)に準拠し、その“取り扱い”に関して、組織全体として取り組むことが要求されています。
いわば、ISMSは、組織の情報資産全てを脅威から守り、組織の事業継続性を確保するための情報セキュリティであるのに対して、プライバシーマークは、個人の情報をどのように取扱い、保護するかを求めているといった違いがあります。