【よかったらクリックお願いします♪】↓
ブログランキングranQ
企業家ブログ→http://www.kigyoukablog.jp/ranki.cgi?id=35
認証を要求する発注者が認証制度の趣旨をわかっていないんじゃないかな、というケースはたくさんある。
情報セキュリティマネジメントシステムもそうだ。
情報関連のマネジメントシステムの代表的なものとしてISO27001認証制度とプライバシーマーク制度がある。
それぞれの特徴は、ISO27001が、組織内にあるすべての情報資産について、組織が構築した情報セキュリティマネジメントシステムが認証基準に適合しているか審査し登録する制度で、技術的なセキュリティ対策と組織全体のマネジメントの両面から審査され認証される制度だ。
つまり、組織内にある紙媒体、電子媒体を問わず記録された情報やソフトウェア、パソコンやサーバーなどのハードウェア、ソフトウェアやハードウェアに関連する電源設備などすべての情報資産について個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することと、組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが主なコンセプトになっている。
一方、プライバシーマーク制度(Pマーク)は、JIS Q 15001にしたがって、組織が保有する個人情報の管理についての全社的な取組みが基本で、電子化もしくは電子化を目的とした書面による個人情報が保護の対象となっている。
このように両者の認証制度は、「組織が管理するすべての情報資産」に関するマネジメントシステムの保証なのか「組織が管理する電子化もしくは電子化を目的とした書面による個人情報」に関するマネジメントシステムの保証なのかの違いがある。
しかし、発注者にはそれぞれの規格の趣旨がわかっていない。
たとえば、情報の外部漏洩に関するニュースといえばヤフーBBやローソン、ジャパネットたかたなどが有名だ。
これらは、個人情報漏洩が問題であった事件だ。
このような個人情報の保護に関する組織のマネジメントシステムを構築し、システムが確立していることを示す手段としては前記した2つの制度であればプライバシーマーク制度が適している。
一方、たとえば広告代理店における新製品の情報や製造メーカーにおける特許情報や技術的な仕様書、設計図書、情報サービス産業におけるソフトウェアやハードウェアなど情報資産全般の管理に関するマネジメントシステムの保証を示す必要がある場合は、ISO27001制度がよい。
しかし、情報に関するマネジメントシステムの保証を発注条件にする発注者は情報に関して何の保証を購買先に求め、ISO27001またはプライバシーマーク制度の認証により購買先組織の何が保証されているのかを知らないケースが多い。
ある5人程度の従業員がいる広告制作会社に広告代理店から、近い将来、発注条件としてマネジメントシステムの認証を要求するという通知があったそうだ。
その会社は今まで「マネジメントシステムの認証制度」というものを聞いたことがなかった。
認証取得を支援するコンサルティング会社や認証審査を実施する機関に話を聞いてみると、取得までの費用は案外バカにならない価格が掛かることを知り、制度的には経済産業省の外郭団体が主管するプライバシーマーク制度の認証取得の方が期間的にも費用的にも安く取得できそうなことがわかった。
そこで、発注者に「プライバシーマークを取得しようと思うのですが・・・」と相談したところ、「発注条件とする認証はPマークでもISO27001でもいい」と回答があったそうだ。
しかし、この会社は「広告制作会社」である。
つまり製品は、「広告主の新製品情報に関する広告」である。
したがって、広告制作会社に対する発注者である広告代理店や広告代理店の顧客である広告主に期待されている管理は「新製品情報」など情報資産のマネジメントシステムである。
だがプライバシーマークの制度に従ったマネジメントシステムを構築して出来上がるものは「組織が保有する個人情報の管理に関するマネジメントシステム」である。
要は管理されるものは広告制作会社の社員情報や広告代理店との仕事のやり取りで生じる個人情報などであり、新製品情報については管理の対象外となる。
そうなると発注者は、そもそも購買先に何を求めているのか、そのためにどんな認証によりどのような保証を担保したいのかが理解できていないのではないかと思う。
想像すると、認証に期待していることは、新製品情報が漏れたときにエンドユーザーに対する言い訳ではないかと思う。
しかし、賢いエンドユーザーならばプライバシーマークを取得している業者をこの広告代理店が下請けに使用していても、何の担保にもなっていないことはわかる。
エンドユーザーが個人情報をきちんと管理し、守ってほしいという目的があるならば別であるが、エンドユーザーが一番守ってほしい情報は「新製品情報」であり、プライバシーマークでは広告代理店の管理として不十分だからである。
このように発注者が購買先に何をしてもらいたくて認証を要求するのかわかっていないと、要求された購買先も「とりあえず認証がほしい」となるのは自明である。
すると、取り組む側は認証を目指すことによって規格が要求している本質の理解やシステムの有効的利用は度外視した風潮が蔓延し、まともなマネジメントシステムの構築・活用などは望めないのであろう。
【お奨めのサイト!①】
『センスを磨き、幸せを呼ぶ~夢の言の葉~』
http://yumenokotonoha.hp.infoseek.co.jp/
毎日、すてきな言葉のちょっとした雑学と癒しをお届けします。
たった一つの言葉で、元気になれる!やさしくなれる~美しくなれる…
メルマガが本になりました!
-*-★-*-『美人の日本語』(幻冬舎/1,470円)-*-★-*-
http://tinyurl.com/6lcxk
-*-★-*-『美人のいろは』(幻冬舎/1,365円)-*-★-*-
http://tinyurl.com/cjmvj
-*-★-*-『美しい暦のことば』
(インデックス・コミュニケーションズ/1,260円)-*-★-*
http://tinyurl.com/md5co
-*-★-*-『しあわせの言の葉』(宝島社/1,260円)-*-★-*
http://tinyurl.com/39h3lj
【お奨めのサイト!②】
「しっかり食べているのにやせちゃうのよ」
そんな方法があるのですが、興味ありませんか・・・?
私が知っているダイエットの中でもダントツの成功率です。
何を食べるかが成功の決め手でした。
≪メールでお届け・無料ダイエットレッスン開催中≫
『朝食をフルーツにして1ヶ月で10キロやせる方法!』
~フルーツダイエットはどうやるの?~
こちらからお申し込みできます。
http://1vegeful.com/tinyd0+index.id+6.htm
『北海道ネット起業セミナー』
http://kouza.1happylife.info/2007/02/post_33.html
日時: 2007年4月21日(土) 9:30~12:00
場所: 札幌市産業振興センター セミナールームD
参加費:一般3000円、商材購入者2000円
定員:20人
<参加するメリット>
畑岡アフィリ塾講師による直接指導
ネット起業の種類と特徴を紹介
リアルビジネスとの融合方法の紹介
ヤフーオークション、ミクシイを活用した集客方法の紹介
さらに、これから必須能力になるリストマーケティングについて語ります。
【お奨めのサイト!③】
◆『 毎日2分でサクサク読む医療・健康ニュース 』
医療・健康ニュースを把握していますか?
各新聞社のニュースヘッドラインを毎日2分で
読めてしまうメールマガジンがあります。
新聞を読まなくてもついてゆける医療と健康ニュースです。
http://www.3bs.jp (購読無料)
【お奨めのサイト!④】
◆日刊メールマガジン「暮しの赤信号」http://www.kt.rim.or.jp/~setu/yama-mw.shtml
ブログランキングranQ
企業家ブログ→http://www.kigyoukablog.jp/ranki.cgi?id=35
認証を要求する発注者が認証制度の趣旨をわかっていないんじゃないかな、というケースはたくさんある。
情報セキュリティマネジメントシステムもそうだ。
情報関連のマネジメントシステムの代表的なものとしてISO27001認証制度とプライバシーマーク制度がある。
それぞれの特徴は、ISO27001が、組織内にあるすべての情報資産について、組織が構築した情報セキュリティマネジメントシステムが認証基準に適合しているか審査し登録する制度で、技術的なセキュリティ対策と組織全体のマネジメントの両面から審査され認証される制度だ。
つまり、組織内にある紙媒体、電子媒体を問わず記録された情報やソフトウェア、パソコンやサーバーなどのハードウェア、ソフトウェアやハードウェアに関連する電源設備などすべての情報資産について個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することと、組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが主なコンセプトになっている。
一方、プライバシーマーク制度(Pマーク)は、JIS Q 15001にしたがって、組織が保有する個人情報の管理についての全社的な取組みが基本で、電子化もしくは電子化を目的とした書面による個人情報が保護の対象となっている。
このように両者の認証制度は、「組織が管理するすべての情報資産」に関するマネジメントシステムの保証なのか「組織が管理する電子化もしくは電子化を目的とした書面による個人情報」に関するマネジメントシステムの保証なのかの違いがある。
しかし、発注者にはそれぞれの規格の趣旨がわかっていない。
たとえば、情報の外部漏洩に関するニュースといえばヤフーBBやローソン、ジャパネットたかたなどが有名だ。
これらは、個人情報漏洩が問題であった事件だ。
このような個人情報の保護に関する組織のマネジメントシステムを構築し、システムが確立していることを示す手段としては前記した2つの制度であればプライバシーマーク制度が適している。
一方、たとえば広告代理店における新製品の情報や製造メーカーにおける特許情報や技術的な仕様書、設計図書、情報サービス産業におけるソフトウェアやハードウェアなど情報資産全般の管理に関するマネジメントシステムの保証を示す必要がある場合は、ISO27001制度がよい。
しかし、情報に関するマネジメントシステムの保証を発注条件にする発注者は情報に関して何の保証を購買先に求め、ISO27001またはプライバシーマーク制度の認証により購買先組織の何が保証されているのかを知らないケースが多い。
ある5人程度の従業員がいる広告制作会社に広告代理店から、近い将来、発注条件としてマネジメントシステムの認証を要求するという通知があったそうだ。
その会社は今まで「マネジメントシステムの認証制度」というものを聞いたことがなかった。
認証取得を支援するコンサルティング会社や認証審査を実施する機関に話を聞いてみると、取得までの費用は案外バカにならない価格が掛かることを知り、制度的には経済産業省の外郭団体が主管するプライバシーマーク制度の認証取得の方が期間的にも費用的にも安く取得できそうなことがわかった。
そこで、発注者に「プライバシーマークを取得しようと思うのですが・・・」と相談したところ、「発注条件とする認証はPマークでもISO27001でもいい」と回答があったそうだ。
しかし、この会社は「広告制作会社」である。
つまり製品は、「広告主の新製品情報に関する広告」である。
したがって、広告制作会社に対する発注者である広告代理店や広告代理店の顧客である広告主に期待されている管理は「新製品情報」など情報資産のマネジメントシステムである。
だがプライバシーマークの制度に従ったマネジメントシステムを構築して出来上がるものは「組織が保有する個人情報の管理に関するマネジメントシステム」である。
要は管理されるものは広告制作会社の社員情報や広告代理店との仕事のやり取りで生じる個人情報などであり、新製品情報については管理の対象外となる。
そうなると発注者は、そもそも購買先に何を求めているのか、そのためにどんな認証によりどのような保証を担保したいのかが理解できていないのではないかと思う。
想像すると、認証に期待していることは、新製品情報が漏れたときにエンドユーザーに対する言い訳ではないかと思う。
しかし、賢いエンドユーザーならばプライバシーマークを取得している業者をこの広告代理店が下請けに使用していても、何の担保にもなっていないことはわかる。
エンドユーザーが個人情報をきちんと管理し、守ってほしいという目的があるならば別であるが、エンドユーザーが一番守ってほしい情報は「新製品情報」であり、プライバシーマークでは広告代理店の管理として不十分だからである。
このように発注者が購買先に何をしてもらいたくて認証を要求するのかわかっていないと、要求された購買先も「とりあえず認証がほしい」となるのは自明である。
すると、取り組む側は認証を目指すことによって規格が要求している本質の理解やシステムの有効的利用は度外視した風潮が蔓延し、まともなマネジメントシステムの構築・活用などは望めないのであろう。
【お奨めのサイト!①】
『センスを磨き、幸せを呼ぶ~夢の言の葉~』
http://yumenokotonoha.hp.infoseek.co.jp/
毎日、すてきな言葉のちょっとした雑学と癒しをお届けします。
たった一つの言葉で、元気になれる!やさしくなれる~美しくなれる…
メルマガが本になりました!
-*-★-*-『美人の日本語』(幻冬舎/1,470円)-*-★-*-
http://tinyurl.com/6lcxk
-*-★-*-『美人のいろは』(幻冬舎/1,365円)-*-★-*-
http://tinyurl.com/cjmvj
-*-★-*-『美しい暦のことば』
(インデックス・コミュニケーションズ/1,260円)-*-★-*
http://tinyurl.com/md5co
-*-★-*-『しあわせの言の葉』(宝島社/1,260円)-*-★-*
http://tinyurl.com/39h3lj
【お奨めのサイト!②】
「しっかり食べているのにやせちゃうのよ」
そんな方法があるのですが、興味ありませんか・・・?
私が知っているダイエットの中でもダントツの成功率です。
何を食べるかが成功の決め手でした。
≪メールでお届け・無料ダイエットレッスン開催中≫
『朝食をフルーツにして1ヶ月で10キロやせる方法!』
~フルーツダイエットはどうやるの?~
こちらからお申し込みできます。
http://1vegeful.com/tinyd0+index.id+6.htm
『北海道ネット起業セミナー』
http://kouza.1happylife.info/2007/02/post_33.html
日時: 2007年4月21日(土) 9:30~12:00
場所: 札幌市産業振興センター セミナールームD
参加費:一般3000円、商材購入者2000円
定員:20人
<参加するメリット>
畑岡アフィリ塾講師による直接指導
ネット起業の種類と特徴を紹介
リアルビジネスとの融合方法の紹介
ヤフーオークション、ミクシイを活用した集客方法の紹介
さらに、これから必須能力になるリストマーケティングについて語ります。
【お奨めのサイト!③】
◆『 毎日2分でサクサク読む医療・健康ニュース 』
医療・健康ニュースを把握していますか?
各新聞社のニュースヘッドラインを毎日2分で
読めてしまうメールマガジンがあります。
新聞を読まなくてもついてゆける医療と健康ニュースです。
http://www.3bs.jp (購読無料)
【お奨めのサイト!④】
◆日刊メールマガジン「暮しの赤信号」http://www.kt.rim.or.jp/~setu/yama-mw.shtml