プライバシーマーク（個人情報保護）と情報セキュリティの違い

今日は、私の失敗談です。

先日、JIS Q 15001（プライバシーマーク）を取得しました。この取得についてはスタッフに多大な迷惑をかけてしまいました。このことについて触れてみたいと思います。

定義の認識が全く違っていた

実は、今年の3月に審査を受けています。なぜ5ヶ月近く遅れての取得かと申しますと、審査の時、10箇所の指摘をいただいたためです。審査終了時クロージングミーティングを行うわけですが、そのとき、審査員からお伺いしてはじめてシステムの全貌が見えてきたのです。

もともと、情報セキュリティのISMSは取得しており、社内システムが機能していますので、あまり深く考えていなかったというのが本音です。つまり、私の当初の認識は、「個人情報保護は、情報セキュリティと同じであり、個人情報に特化した部分においてより深く規定があるんだろう」というものでした。情報セキュリティのレベル2（下位システム）として機能させればいいという考え方しかできなかったのです。

したがって初めは、個人情報を守るための施策に重点を置いて、システムの構築を指示したのです。

個人情報保護は、個人情報を活用するためのシステム！

審査後、私が審査員に尋ねた言葉は、「ということは、守るシステムではなく、活用するためのシステムですね？」であり、審査員の言葉は、「ご理解いただいたようですね」でした。

ポイントは、個人情報を入手する企業は、個人（本人）の承認を取り付けること。さらに、使う範囲に関して企業は社会にコミットメントする。この2点が重要だということを理解しました。

一方情報セキュリティ（ISMSやBS7799）は、「機密性」「完全性」「可用性」に関して、如何に守り維持するかというシステムですので、実は全く違ったシステムだったのです。

いやいや、慣れているからと勝手に判断するとこういうことになります。何事につけてもそうですが、源の考え方がずれてしまうとどのように努力しようが報われないものだと改めて反省しました。

プライバシーマークとトラスト- e

個人情報保護に関して、現状有名なものがプライバシーマークと、トラスト-eの2種類あります。一見同じようでありどちらを選ぼうかと迷われる企業様も多いと思います。プライバシーマークは、どちらかというとネットも含めた企業活動全体において個人情報をどのように扱うかという場合に適しており、トラスト-eは、ネットの領域において個人情報をどのように扱うかという場合に適しています。適用範囲の違いと考えていただいて結構です。

企業紹介

トラスト-eの取得に関しては、私の知人が専門企業をやっております。インターメント株式会社の黒崎社長です。

今回は、黒崎社長にコラムの特別寄稿をお願いいたしました。トラスト-eに関して理解を促進するには非常によいと思います。また、トラスト-eに関してご質問等がありましたら、弊社担当または直接黒崎社長までお問い合わせください。

• 株式会社インターメント 黒崎社長の特別寄稿コラム