第4回対談は、「個人情報保護に関する認証取得が役に立つ理由」について、コンサルタントである田村氏に、話を伺いました。
今回は、認証取得で基本的な考え方となっている、情報マネジメントシステムと委託先の管理について話を伺います。
■PDCAが基本
田淵 情報マネジメントシステムは、一般のマネジメントシステムと同じようにPDCAを回すわけですが、認証取得に際して、基本的な考え方になっていますね。
田村 世の中に存在するマネジメントシステムと言われるものは、全てPDCAが基本です。
田淵 認証取得を考えている会社に、どの程度その認識があるのでしょうか。
田村 例えば、小規模の会社であれば、社員同士が近くに座っていて、経営者の声が全員に直接届く距離感で仕事をしています。マネジメントシステムという概念を意識しなくても、意思の伝達や統制は可能です。
田淵 はい。
田村 そんな会社でも、PDCAという考え方は割と一般的なんです。計画をして実行し、チェックして改善する、という考え方は知られています。社内ルールという点では割と意識されていると思います。
田淵 マネジメントシステムというと立派に聞こえますが、委託先の管理で役立つのですか?
田村 マネジメントシステムは、委託元が委託先に求める「共通語」のような所があります。企業の大小にかかわらず、管理の仕組みがあるかどうかを問うのは比較的答えやすい質問です。しかし、それより大事な視点があると思うのです。
田淵 それはなんでしょうか?
■マネジメントシステムより大事な視点
田村 マネジメントシステムというよりは、現実的にどうしますかという、その視点で観るほうがよいかと思います。
田淵 そうなんですか、それは興味深いですね。
田村 委託先管理でいうと、委託元から委託先へ確認する項目として、御社の中では教育制度はありますかとか、監査してますか、または責任者は決めていますか、といった内容をよく見かけます。
田淵 委託先のマネジメントシステムをチェック項目で確認するというやり方ですね。
田村 それはそれで大切なことなのですが、例えば自分が委託する側だとして、それを相手に求めるんじゃなくて、「この委託する情報はどのくらい安全なんですか」という具体的な視点が大事な点じゃないかと思うわけです。
田淵 なるほど。
田村 すごく乱暴な言い方をすると、委託先の社内制度はどうでもいいから、この情報が安全であることを説明しなさい、という視点です。
田淵 この情報がどう安全なのか?それを証明してほしいと。
田村 例えば「管理者が決まっていますか?」ではなくて「この情報を触るのは、誰と誰と誰ですか?」という確認ですよ、大事なのは。教育も同じです。現実的に触れないのは技術的な仕組みで触れないのか、それとも触っちゃいけないという教育をしてるのか、という。
田淵 つまりアンケートで聴く委託先管理ではなく、踏み込んでインタビューして確認するというやり方、それが大事だということですね。
田村 そのとおりです。実際の現場では、こうしたインタビューをしていないと思います。例えば、規格要求事項だと、自社と同等以上の保護水準にある者を選定して委託すること、とされています。
田淵 なるほど。自社と同じレベルの取り組みをしているという確認ですね。
田村 そうです。しかし多くの企業では、そこで使われるチェック項目は「個人情報保護方針はありますか」「教育してますか」といったマネジメントシステム、PDCAの存在を問う内容が多いんです。でも本質はそこにはなくて、安全管理策を具体的にどうしているか、という点の確認のほうが要求事項の求めに合っているし、大切だと私は思うのです。委託先のチェック項目、アンケートというのは、業界の標準はこうなっている、JIS規格はこう言ってるではなくて、委託先に渡している「この」情報が安全かどうかを判断するための設問が必要ではないですか?と。
次回は、「情報漏えいを起こさない、委託先管理で重要なポイント」について、引き続きお話を伺います。
今回対談を受けて頂いた方
田村 豪之(たむら ひでゆき)
【対談インタビュー】株式会社バルク・田村氏 × ソーシャルメディアリスク研究所・田淵
- ⇒【第1回】「変容する情報セキュリティ」の記事はこちらから
- ⇒【第2回】「スマートフォンが内包する情報セキュリティリスク」の記事はこちらから
- ⇒【第3回】「プライバシーマーク取得とSNS」の記事はこちらから
- ⇒【第4回】「個人情報保護に関する認証取得が役に立つ理由」の記事はこちらから
- ⇒【第5回】「認証取得とマネジメントシステム」(こちらの記事)
株式会社バルクとは
バルクは、そのような背景の中で業界のリーディングカンパニーとして、常に他社よりも先駆けたサービスの提供を続けている会社です。ITツールを使った支援も行っており、数多くのプロジェクト実績やあらゆる業種、規模に応じた対応ノウハウを有しております。
【プライバシーマーク コンサルティングについて】
【ISO27001コンサルティングについて】
関連記事: こんな記事も読まれています
カテゴリー
- サイト別削除方法
サイト別削除方法 - ネット炎上対策
ネット炎上対策 - 個人でできるネットリスク管理
個人でできるネットリスク管理 - 業界別の誹謗中傷対策
業界別の誹謗中傷対策 - 危機管理広報
危機管理広報 - ブランディング
ブランディング - SNS・口コミ管理
SNS・口コミ管理 - IT業界の対策
IT業界の対策
人気のナレッジ&コラム
-
ネットの誹謗中傷が犯罪になる事例(1) ~名誉毀損罪・侮辱罪が適用になる条件~
86,949ビュー -
匿名の書き込み犯人を特定する方法 ~情報発信者の開示請求のやり方と書式~
49,652ビュー -
ネットの誹謗中傷を発見したらどう対処すればよいか(1)~6通りの対策方法~
41,866ビュー -
ネットの誹謗中傷が犯罪になる事例(2) ~脅迫罪が適用になる条件~
20,241ビュー -
アメーバブログの削除依頼方法について
15,997ビュー
最新のナレッジ&コラム
-
ジェンダー炎上とCM その① 性的・エロ表現によるジェンダー炎上
2019/11/29 -
炎上を拡散させる者の罪~書くこと、リツイートは慎重にしなければ、罪に問われる~
2019/10/11
募集中のセミナー
- 現在募集中のセミナーはございません。