ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

10.1電子商取引(A.10.9.1)と10.2オンライン取引(A.10.9.2)

05.21.2008 (update06.04.2020)
ISMSサンプル文書集.  3,564 views

「通信・運用管理規程」についてお伺いします。

10.1電子商取引(A.10.9.1)と10.2オンライン取引(A.10.9.2)について、御社のサンプルでは、同内容が記載されていますが、ISO/IEC17799を見ていますと、A.10.9.1は、電子商取引の概念みたいものが規格されており、A.10.9.2において、実際のオンライン取引のセキュリティを守る上での具体的な方法(暗号化せよだとか、電子署名を使用せよだとか・・・)が規格されています。

10.1電子商取引(A.10.9.1)と10.2オンライン取引(A.10.9.2)の記載内容は、同じもので大丈夫なのでしょうか?

JIPDECのホームページに掲載されているQ&Aでは、同じ管理策を実施することが推奨されています。

url:http://www.isms.jipdec.jp/faq/faq3.html

よって、同じ記載内容で問題はありません。

********** JIPDEC FAQ-よくある質問とその回答集- **********

FAQ3:認証基準の解釈(JIS Q27001対応版)

Q3214.
A.10.9 電子商取引サービスの管理策において、「A.10.9.1 電子商取引」と「A.10.9.2 オンライン取引」の違いは何でしょうか。
A.
「電子商取引」の場合、商取引の一部がネットワークを経由しているものをすべて含んでいると考えます。例えば、注文をネットで行い、ネット以外で決済をした場合でも電子商取引と言えます。

これに対し、「オンライン取引」は “On-line transactions”の訳であり、受発注だけでなく決済までもネットワーク上で処理する場合を対象としています。

ただし、銀行などで使われている取引がすべて同時に行われるものや受発注と決済に時間的なずれがあるような場合も含めて広い意味で使われています。
ですから、オンライン取引は、電子商取引に含まれると考えられます。

JIS Q 27002に記載されている実施の手引をご覧頂くと分かるように、「A.10.9.2 オンライン取引」の場合も、「A.10.9.1 電子商取引」の管理策を実施することを推奨しています。