ゼクトはお客様の目的を理解し、最適なサービスを提供します。

ゼクトが選ばれる3つの理由

情報セキュリティ

  • PIC-DSS
  • ISO27001
  • プライバシーマーク
  • 事故後対応
  • 災害対策
Medical Trancer Z
Medical Dock Navigator Z
災害対策マニュアル見直しサービス
当社の実績紹介
PCI-DSS

お見積り・ご相談は

電話でのお問合わせ TEL: 03-5577-2972メールでのお問い合わせは、お問合わせフォームからどうぞ

規格別メニュー

  • PCI-DSS
  • ISO9001
  • ISO14001
  • ISO27001
  • プライバシーマーク
事務用品、生活用品、家電、防災グッズまで揃う!当社運営の「はっするネットお茶の水」はこちら

よくある質問

未取得企業編

Q1.プライバシーマークとISO27001(ISMS)の違いはなんですか?

色々な違いがあります。

ポイント プライバシーマーク ISO27001
対象となる情報は?
業務に利用する全ての個人情報が対象です。 適用範囲内に存在する情報資産(個人情報以外も含む)全てが対象です。
審査対象となる範囲(部門、支店など)は?
基本的に全社での認証取得となるため、全社全部門が対象となります。 適用範囲を自社にて定め、審査対象を絞り込むことが可能です。
審査日数は?
企業規模によっても異なりますが、基本的には2〜3人が審査企業を訪問し、1日かけて実施することが多いです。 審査機関や企業規模により異なりますが、基本的には1次審査として2〜3人が2日程度、2次審査として2〜3人が3日程度かけて実施することが多いです。ちなみに1次審査と2次審査の間は1〜2ヶ月程度の間隔です。
認証取得後も審査はあるの?
漏洩事件などを起こした場合は別ですが、基本的には2年に1度、初年度の審査と同様の実地審査を行います。 審査機関や企業規模により異なりますが、基本的には1年に一度の維持審査(審査日数は初年度審査の2/3程度)、3年に一度の更新審査(審査日数は初年度審査と同等)を行います。

Q2.プライバシーマークとISO27001(ISMS)どっちが良いですか?

認証取得の目的により異なります。
目的が認証取得を顧客に対してアピールしたいということであれば、個人消費者向けのサービスを行っている企業やたくさんの会員を管理している企業などはプライバシーマークの方がアピールできると考えます。逆に対企業向けのビジネスを行っている企業などは個人情報以外の機密情報保護活動を行っているということで、ISO27001(ISMS)が有効であると思います。
また、認証取得の目的が内部(社員など)の意識向上や体制構築などであった場合も、管理すべき主となる情報が個人情報であるか、他の機密情報であるかによって有効度は異なります。


Q3.プライバシーマークやISMSに専任の担当者は必要ですか?

専任の担当者を設けて頂いたほうが、構築・運用活動は円滑に進めることはできると思いますが、絶対に必要ということはありません。また、専任の担当者を設けることで、全ての作業を任せきりになってしまうような懸念も考えられます。
基本的には情報セキュリティ推進委員会などを組織し、各部門から委員を選出することで組織全体へ情報セキュリティに対する啓発活動やマネジメントシステム構築活動を行うことをお勧めします。


Q4.プライバシーマークやISMSを認証取得するために、まず何をやれば良いですか?

取得する目的が明確になっている場合には、目的に応じた基本方針を策定することをお勧めします。一般的には、まずやるべきこととして情報資産や個人情報の特定およびリスク分析が挙げられますが、マネジメントシステム構築の目的がはっきりしていない状態でリスク分析を行うよりは、作業を行う社員に対して何のために、どこに向かって活動すれば良いかを明確にすることが重要であると考えます。
その上で、情報資産や個人情報の特定およびリスク分析を行い、セキュリティに対する重点施策を明確にし活動を進めます。

取得済み企業編

Q1.事務所の引越しをしたいのですが、何かすることはありますか?

事務所を移転するような場合、物理的なセキュリティ対策やネットワーク構成などが変更されますので、セキュリティに関するリスクも当然変更されます。
そこで、事務所の引越しが決まった場合には、引越しのための計画を立案し、引越し時のリスクをできる限り低くする必要があります。引越し時のリスクといっても様々ありますが、運搬時の機器の故障や書類などの紛失、旧事務所から新事務所へのネットワークの切り替えリスクなどが考えられますので、これらについてリスクアセスメントを行います。
また、事務所の住所が変更されますのでISO27001の認定証についても変更する必要があり、審査機関により別途審査を受ける必要があります(定期審査のタイミングとあわせることも可能です)。


Q2.新しい事業を開始したので適用範囲に含めたいのですが。

新しい事業を開始した場合、その際に発生する資産についてのリスクアセスメントの実施が必要となります。また、リスクアセスメント結果により従来のISMS文書(情報セキュリティに関連するルール)についても必要に応じて改訂を行います。基本的には新しい事業に対してPDCAサイクルを回すという考え方になります。
なお、適用範囲に関しては新しい事業が従来の適用範囲に含まれていない場合には適用範囲拡大ということになり、審査機関による拡大審査(適用範囲が変更された部分のみ行う審査)を別途受診する必要があります。


Q3.プライバシーマークを持っていて、更にISO27001も取得したい。

プライバシーマークとISO27001は基本的にはPDCAを基本としたマネジメントシステムですので、要求されている事項が重なる部分も多くあるのでプライバシーマークで規定した文書を利用することもできます。しかしながら、適用となる情報がISO27001の場合には適用範囲に含まれる全ての資産ということになりますので、個人情報だけをターゲットにしているプライバシーマークとは異なるリスクアセスメントが必要となります。また、ISO27001には附属書Aとして133項目のセキュリティに関する管理策が用意されており、それらの適用状況を紐付ける必要があります。
プライバシーマークを取得しており、ISO27001を新たに追加する場合には審査のタイミングなどを考慮し、無理のない形での構築計画を策定することが、ISO27001の規格を理解する事と同様に、最も重要です。


Q4.個人情報が漏洩しているとの連絡が入ったのですが。

個人情報などの漏洩事件は毎日のように新聞紙上に掲載されており、もはや対岸の火事といった状況ではないと言えます。
万が一、上記のような連絡があった場合、最初にやるべきことは事実確認をしっかり取るということです。連絡を受けた情報を鵜呑みにし、下手に行動を起こしてしまっては、嘘の情報であった場合など、事態の収束が難しくなってしまいます。
迅速な対応は必要不可欠ですが、事実確認をしっかり行うことが最初にやるべきことであると考えます。
その結果、情報漏洩が事実であると確認できた場合には、「漏洩した個人情報の該当者(本人)のことを最優先に考えて行動する」ということを常に念頭におきながら適切な対応をする必要があります。
主な対応としては、

  • 本人への連絡(状況説明と謝罪、想定されるリスクの説明)
  • 広報活動(ホームページ掲載、コールセンター設置など)
  • メディアへの対応検討
  • 主務官庁への連絡
  • 事件性がある場合には警察へ連絡
  • 2次被害防止策の検討

などが考えられますが、状況に応じて様々な対応をタイミング良く実施することが重要です。