誹謗中傷対策とネット炎上対策をサポートする【ネット情報参謀セイメイ】

ネット情報参謀セイメイ

0120-134-797
営業時間:9:00~19:00/土日祝日休

認証取得とマネジメントシステム【第5回対談インタビュー】:株式会社バルク・田村氏 × ソーシャルメディアリスク研究所・田淵


認証取得とマネジメントシステム

第4回対談は、「個人情報保護に関する認証取得が役に立つ理由」について、コンサルタントである田村氏に、話を伺いました。

今回は、認証取得で基本的な考え方となっている、情報マネジメントシステムと委託先の管理について話を伺います。

■PDCAが基本
田淵 情報マネジメントシステムは、一般のマネジメントシステムと同じようにPDCAを回すわけですが、認証取得に際して、基本的な考え方になっていますね。

田村 世の中に存在するマネジメントシステムと言われるものは、全てPDCAが基本です。

田淵 認証取得を考えている会社に、どの程度その認識があるのでしょうか。

田村 例えば、小規模の会社であれば、社員同士が近くに座っていて、経営者の声が全員に直接届く距離感で仕事をしています。マネジメントシステムという概念を意識しなくても、意思の伝達や統制は可能です。

田淵 はい。

田村 そんな会社でも、PDCAという考え方は割と一般的なんです。計画をして実行し、チェックして改善する、という考え方は知られています。社内ルールという点では割と意識されていると思います。

田淵 マネジメントシステムというと立派に聞こえますが、委託先の管理で役立つのですか?

田村 マネジメントシステムは、委託元が委託先に求める「共通語」のような所があります。企業の大小にかかわらず、管理の仕組みがあるかどうかを問うのは比較的答えやすい質問です。しかし、それより大事な視点があると思うのです。

田淵 それはなんでしょうか?

認証取得とマネジメントシステム

■マネジメントシステムより大事な視点
田村 マネジメントシステムというよりは、現実的にどうしますかという、その視点で観るほうがよいかと思います。

田淵 そうなんですか、それは興味深いですね。

田村 委託先管理でいうと、委託元から委託先へ確認する項目として、御社の中では教育制度はありますかとか、監査してますか、または責任者は決めていますか、といった内容をよく見かけます。

田淵 委託先のマネジメントシステムをチェック項目で確認するというやり方ですね。

田村 それはそれで大切なことなのですが、例えば自分が委託する側だとして、それを相手に求めるんじゃなくて、「この委託する情報はどのくらい安全なんですか」という具体的な視点が大事な点じゃないかと思うわけです。

田淵 なるほど。

田村 すごく乱暴な言い方をすると、委託先の社内制度はどうでもいいから、この情報が安全であることを説明しなさい、という視点です。

田淵 この情報がどう安全なのか?それを証明してほしいと。

田村 例えば「管理者が決まっていますか?」ではなくて「この情報を触るのは、誰と誰と誰ですか?」という確認ですよ、大事なのは。教育も同じです。現実的に触れないのは技術的な仕組みで触れないのか、それとも触っちゃいけないという教育をしてるのか、という。

田淵 つまりアンケートで聴く委託先管理ではなく、踏み込んでインタビューして確認するというやり方、それが大事だということですね。

田村 そのとおりです。実際の現場では、こうしたインタビューをしていないと思います。例えば、規格要求事項だと、自社と同等以上の保護水準にある者を選定して委託すること、とされています。

田淵 なるほど。自社と同じレベルの取り組みをしているという確認ですね。

田村 そうです。しかし多くの企業では、そこで使われるチェック項目は「個人情報保護方針はありますか」「教育してますか」といったマネジメントシステム、PDCAの存在を問う内容が多いんです。でも本質はそこにはなくて、安全管理策を具体的にどうしているか、という点の確認のほうが要求事項の求めに合っているし、大切だと私は思うのです。委託先のチェック項目、アンケートというのは、業界の標準はこうなっている、JIS規格はこう言ってるではなくて、委託先に渡している「この」情報が安全かどうかを判断するための設問が必要ではないですか?と。

次回は、「情報漏えいを起こさない、委託先管理で重要なポイント」について、引き続きお話を伺います。

今回対談を受けて頂いた方

田村 豪之(たむら ひでゆき)

田村 豪之(たむら ひでゆき)

株式会社バルク コンサルティング事業部 シニアコンサルタント 事業部長
200社を超える企業に対する400件を超える認証審査対応という、日本有数の実績を背景にした、企業ごとの実情にマッチした変幻自在の提案力を武器に、事業運営にまつわるリスクに対して空論に終わらない対応策策定をおこなう。「各社の資源に合わせた最高のリスク対策の立案と実現をサポートします。」大阪府出身 中小企業診断士

 

 

株式会社バルクとは

株式会社バルク
バルクは、プライバシーマーク・ISO27001取得運用支援では業界トップクラスの支援実績を誇る情報セキュリティコンサルティング会社です。近年、情報セキュリティにおいては新たな脅威が拡大しています。最も対策が急務となっているのはサイバー攻撃ですが、改正個人情報保護法やEU圏のGDPRなど、個人情報や機密情報の取扱いには、企業としての責任が年々問われる状況にあります。
バルクは、そのような背景の中で業界のリーディングカンパニーとして、常に他社よりも先駆けたサービスの提供を続けている会社です。ITツールを使った支援も行っており、数多くのプロジェクト実績やあらゆる業種、規模に応じた対応ノウハウを有しております。

【プライバシーマーク コンサルティングについて】

【ISO27001コンサルティングについて】

ナレッジ&コラム執筆者

執筆者

田淵 義朗(たぶち よしろう)

ソーシャルメディアリスク研究所代表
1956年神戸市生まれ。中央大学法学部法律学科卒業後、出版社やベンチャー企業経営を経て、ネット上のコンテンツビジネス/サービスのリスク管理コンサルティングに携わる。ネット風評対策・誹謗中傷対策・クレーム調査、法的対応(民亊、刑事)の証拠収集、予防のための経営層・従業員研修、などが専門。主な著書に「45分でわかる個人情報保護」(日経BP社)、「ネット〈攻撃・クレーム・中傷〉の傾向と即決対策」(明日香出版社)、ビデオ監修「ソーシャルメディアのリスク」(PHP研究所)など。

厳選ホワイトペーパー

カテゴリー

人気のナレッジ&コラム

最新のナレッジ&コラム

募集中のセミナー

  • 現在募集中のセミナーはございません。