情報セキュリティ認証ISMSを取得なさっている企業の経営者とお話していて、

「社内システムが機能していますからPマーク認証は問題ありませんよ。個人情報保護は、情報セキュリティと同じで個人情報に特化した部分で規定が複雑にあるだけでしょ。情報セキュリティのレベル2(下位システム)として機能させればいいじゃないですか」

と自信を持った意見をいただいたことがありました。

そこで、

「個人情報を守るための施策に重点を置いたシステムの構築をお考えなのですね」と尋ねると、

「もちろん」と一言返答がありました。

情報セキュリティ(ISMS・BS7799)は機密性・完全性・可用性に関し、いかに守り維持するかというシステムなので、守る観点からPマークをとらえると、情報セキュリティでOKとなって当然です。

しかしながら、これは事実誤認。

Pマーク認証は、個人情報を守るだけのシステムではなく、
活用するためのシステムです。

ですから、ポイントは大きく2点。

1)個人情報を入手する企業は、本人の承認を取り付ける。

2)使用範囲に関して企業は、社会にコミットメント(※注)する。

根本となる考え方にブレがあると、あらゆる努力が水の泡となってしまいますので注意が必要です。

あと、Pマークとトラスト-eのどちらにしたらよいですかというご質問もいただきます。

これは、ビジネスドメイン(活動領域)の違いで判断なさってください。

Pマークは、インターネットも含めた企業活動全体で個人情報をいかに扱おうかという場合に適しています。一方、トラスト-eは、インターネットの領域で個人情報をどのように扱おうかという場合に適しています。

(つづく)

※注)コミットメント(commitment)
ISO9001:2000(http://www.jsa.or.jp/stdz/iso/iso9000_3.asp)規格の5.1項などに直接「コミットメント」として用いられています。(5.1・5.3・7.2.2)

5.1項では、”management commitment”を「経営者のコミットメント」としています。“commitment”の意味は、「関与・加担・約束・公約・誓約」などの意味ですが、一般に約束として訳される“promise”より、さらに厳粛なニュアンスを持っています。したがって、経営者のコミットメント(management commitment)は、外部に対しての経営者による決意表明(=公約)の意味を持っています。