★リスクマネジメントとしてのPマーク・ISMS

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

リスクマネジメント

リスクマネジメントとは組織に想定される各種のインシデント（自然災害も含む）を費用対効果にみあった 方法で処理するための経営管理法です。 具体的にはISO 31000として規格化されています。

【情報セキュリティマネジメントは(Pマークも)リスクマネジメントの一部】
プライバシーマークもISMS（情報セキュリティマネジメントシステム）もリスクマネジメントの一部であるといえます。 ISO 31000は他のマネジメント規格を包含するアンブレラ規格といわれています。

プライバシーマークとISMSの関係

ISO27001(ISMS)を取得すればプライバシーマークのマネジメントシステムは全てISMSに含まれているのでいらないと考えている方もいますが、 ISMSがPマークの規格を全て包含しているわけではありません。

【ISMSはプライバシーマークのPMSを包含しているわけではありません】
ISMS（情報セキュリティマネジメントシステム）とは組織の保有する情報を資産と定義して「CIA」（機密性・完全性・可用性）の３つの観点から維持していくためのマネジメントシステムです。 想定されるリスクから企業の情報資産を防衛する仕組みです。

プライバシーマークは組織の保有する情報に含まれる、顧客・従業員情報などの「個人情報」を本人から同意をとった 範囲内で利用して想定されるリスクより個人情報を保護する仕組みです。




【ISMSとプライバシーマークの共通項は個人情報の保護のみ】
ISMSもプライバシーマークも両者ともリスクマネジメントシステムではありますが、 ISMSは個人情報も資産と考え、プライバシーマークは個人情報はあくまで本人から同意して取得、限定された範囲で 利用できる預かりものという考え方の根本が違います。

リスクマネジメントシステムとしての範囲 プライバシーマークかISMSか

【コラム】 ピーター・バーンスタインのベストセラー「リスク」の冒頭に 「リスクマネジメントとは未来を現在の統制下に置くための方法である」 という意味の記述があります。 プライバシーマークやISMSを取得して維持していくことは、単なる業務のオーバーヘッドであり作業効率が下がるとネガティヴに反応する現場の社員の意見は一概に否定できないものがあります。 しかしPMSやISMSを不確かな未来の脅威に対抗するためのリスクマネジメントの一環であると考えると、想定外などという言葉に逃げることなく、未来のリスクを今現在事前にコントロールしていることになります。 結局リスクとコストのバランスの問題に還元することができそうです。 それに全く失敗してしまったのが福島第一原発事故です。現在も収束する目処は全く立っていません。 原発メルトダウン中に「原発はリスクとコストのバランスを考えれば今後も必要」と早くも擁護した、自称経済評論家の女性の発言は全くお粗末ですね。