プライバシーマークからISO27001へのステップアップ [06.01.30]
なんて本当に、どだいハードルが高くて無理な話なのでしょうか? そう決めつけてしまう前に、プライバシーマークとISO27001との違い、ISO27001ならではのメリットを整理してみると、プライバシーマークで利用したリソースを再生させることである程度のめどがつくことに気付きます。
そして、133という膨大な詳細管理策も、プライバシーマーク事業者にとっては基本を押さえればそれほど無理にハードルを越えなくても柔軟に取り組めるのがISO27001の良さだと思えるのです。
それでは実際にプライバシーマークとISO27001ではどのような違いがあるのでしょうか?
それを整理してみると、
(1) 受審組織が審査機関を選べる
(2) 規格解釈が柔軟
(3) サーベイランスがある
というのが大筋の違いだと思います。勿論規格自体の違いもあります、規格自体は、プライバシーマークが個人情報の適切な取り扱いという範囲なのに対し、ISO27001は、事業継続やインシデント管理など広範に及ぶ情報資産に関するリスク対応というスケールの大きいものになります。
しかし、この規格の違い以上に大きいのが、先の三点だと言えるのです。
まず、
(1)受審組織が審査機関を選べる
については次のことが言えます。
プライバシーマークでは、組織側で自由に審査機関を選べません(※1)。
テレビ鑑賞に例えると、NHKのみが許されるようなものです。勿論、その良し悪しの議論ではありません。NHKに本来重要な使命と役割があるのと同じです。これに対し、ISO27001では、民放局を自由に選択出来ます。
つまり、実際好き嫌いというレベルから始り、組織の社風、考え方、方針に合った審査機関を組織側で選別することが出来るのです。これは極めて大きな点です。即ち、
考え方が合わなければ、審査機関を変えることさえ出来るのです。
※1 特定の団体、地域に属する場合のみ、それらの間でのみ審査品質等を比較して選択できます(広く自由に選択出来るわけではありません。)
(2)規格解釈が柔軟
については次のことが言えます。
プライバシーマークでは、(1)にも関連して、審査機関が限定される上、考え方も事実上、決められたものになります(そもそも同じ機関が運営する「プライバシーマーク制度」にそえる忠実な事業者が対象のものです)。
これに対しISO27001では、ISO27001の精神を汲み取った上で、組織の解釈や定義で行える範囲が広く、より組織に即した、情報セキュリティというワイドなスコープを、時に特定の部門などターゲット、フォーカスを絞って構築することが可能になります。
組織にとっては、情報セキュリティだ何だと言えども資産の有効活用の結果としての利益が第1命題だと思います。ISO27001は、経済性を踏まえて効率と目標を管理することで、守るだけの、お金が出ていくだけのマネジメントシステムに終始せず戦略的な経営ツールとすることが出来ます。
(3)サーベイランスがある
については次のことが言えます。
プライバシーマークにはサーベイランス(維持審査=通常、6ヶ月又は1年毎)がありません。そのため、これは本来あってはならない事ですが事実上、認定後の運用放置の事業者を散見します。
残念ながら、サーベイランスがないことは、一部の事業者にとってはメリットと位置付けられている事も事実のようです。また、とにかく認定のため後先考えず無理な運用をしてその結果、手がつけられなくなる事業者から失敗談をお聞きすることも少なくありません。一度の審査に運用のすべてを求められるのも一因と考えられます。
一昨年あたりに一挙に増えたプライバシーマークの認定事業者ですが、まだその殆どの事業者が2年後の更新をしていません。「プライバシーマーク制度」が真に評価されるのは、正にこれからと言ってもよいのではないでしょうか。
以上が規格自体以上に大きな違いと言えます。
では、何故この違いが規格自体以上に重要なのか、もう少しそのあたりについて掘り下げまてみます。
サーベイランスがあれば必ずしも形骸化や事件、事後が防げるということは言い切れません。
実際、ISO27001/ISMSより先に運用が始っている他のマネジメントシステムでは認証の安易な乱発が形骸化や事件、事故を招き社会問題にもなりました。
認証は規格要求事項への適合性を評価するもので、決して審査員が組織の時間を管理し事件、事故を担保し防いでくれるというのでは全くありません。
定期的に第3者の審査機関を入れることで一定の緊張感をもって組織自ら目標を定め時間を構成して優先順位を割り当て、セキュリティを設計、構築、運用、改善する、このプロセスによる広範な注意と倫理観が事件、事故のリスクを低減するものです。
そのため事件、事故のリスクを本当に低減させたい事業者には、会社の考え方、行動を継続出来る無理のない運用スキームを設計構築し、その上で、会社の方針にも合致する審査機関を選定することで、初めて計画的にリスクを低減させることが可能だと当社では考えます。
一般的なあるべき相互関係を意味するのではなくこの考え方の根底にあるのは時間管理の重要性です。審査員は、やれ詳細なリスク分析だリスク対応だと受審組織に指摘します。しかし、
受審組織はリスクを自ら担保した上で、限られたリソースを管理しながら組織の考え方を構成する必要があります。ここに審査員とのギャップが生まれることがあります。
リスクを自ら担保し事業運営のため意味のある情報セキュリティを推進している受審組織にしてみれば、受審組織の考え方について審査員の勝手な解釈を押し付けて無駄な時間を浪費させない審査機関と審査員を慎重に選定し定期的に維持審査を受けることこそ、133の管理策以上に大きな意味を持ってくるものと言っても決して過言ではありません。
だからこそ、
(1) 受審組織が審査機関を選べる
(2) 規格解釈が柔軟
(3) サーベイランスがある
というのは、本当に重要な意味があるわけです。
では次に、プライバシーマークで利用したリソースは何処まで使えるのでしょうか。
先ず、人的なリソースについては、監査技能は、ISO27001の内部監査にも利用出来ます。プライバシーマークと同じように、内部監査に資格取得は特に要りません。監査項目はISO27001の規格要求事項に合わせる必要がありますが、監査のフロー自体は応用出来ます。
プライバシーマークの個人情報管理責任者にあたる責任者は、ISO27001では要求事項としては求められていません。つまり組織が役割と責任を定義することが出来ます。組織の求める役割と責任が満たされれば、個人情報管理責任者のような組織をまとめる作業負荷の多い「ISMS責任者」は無理に置かなくても可能となります。
ルールなどのリソースについては、コンプライアンス・プログラム自体はそのままISO27001の個人情報に関する要件で利用できます。
情報システム面のルールや、リスク分析・評価のツールについては、ISO27001の要求事項を満たすよう拡張する必要はあります。しかし、
プライバシーマーク事業者は大抵、個人情報自体が組織の重要な情報資産となっている筈ですので、通常要領よく進められるようです。
どの程度拡張すればよいかは、ISO27001の規格要求事項と133の管理策の基本を押さえたうえでギャップ分析をすることで、自ずと全体像が見えてきます。
ギャップ分析は、プライバシーマークの際にJIS Q 15001規格に照らして行われたように、ISO27001の規格に照らして行います。その際、もしISO27001の当該要求事項に対応するプライバシーマークのルールが形骸化していても、再生・スクラップ&リビルドすることでその多くが利用出来るのが普通です。
プライバシーマークからISO27001へのステップアップのハードルも、このように整理して行くとそう高くはないのではないでしょうか。
それでもギャップ分析やルールの再生・スクラップ&リビルド、不足部分の拡張、また技能や訓練、監査がご心配な事業者様は、私どもがご用意するISO27001新規構築プラン、セミナープラン、技能・要員養成プラン、監査プランなどをぜひ一度、ご覧の上、ご検討下さい!
Pマーク事業者様向けISO27001認証取得通信講座も開始しました
お問合せは
こちらまで
お問合せはお気軽に!
プライバシーマークからISO27001へのステップアップ [06.01.30]
設備投資0円からのセキュリティ[05.10.17]