安否確認サービスの安全性を客観的に評価するには
IT化が進む近年、悪質なコンピュータウイルスやマルウェアに感染し業務が停止したケースや、顧客情報や社内の重要情報が流出したケース等、サイバー犯罪が増加しております。ニュース等で報道されていますように、犯罪者に狙われるのは大企業だけでなく、あらゆる規模の法人・業界・業種に広がっています。
個々の法人で情報セキュリティ対策が取られていますが、果たしてそれが有効なのか、客観的な評価に至っているケースはまだまだ少数派となっています。市場に出ている全ての安否確認サービスは「我社のセキュリティ体制は問題ありません」と言っていますが、所詮、自己評価を利用ユーザーに伝えても全く意味はありません。
自己評価ではなく、客観的な第三者による認証(外部の審査機関によるお墨付き)が有効なことは明らかです。
第三者認証では最も知名度があるISOを目にされたことが多いかと思います(日本では品質:ISO 9001、環境:ISO 14001等が有名です)。
ISOとは「International Organization for Standardization」の略でマネジメントルール(組織内での管理や評価のルール化)の国際規格です。外部の審査機関による審査が定期的に行われており、国際的な基準をクリアしていると証明するものです。
情報セキュリティの分野でもISOによる審査が行われており、主なものとしてISO 27001(ISMS)、27017(CLD)、27701(PIMS)等があります。
※ISMSの正式な表記はISO/IEC 27001ですが、今回は簡略化した表記としております
情報セキュリティや個人情報保護のISOについてご紹介します。
-
27001
27002を含め「ISMS」と呼ばれます。情報セキュリティ全般について
社内ルールの整備や情報資産の保護・IT活用・管理体制等の全体を審査します。 -
27017
ISMSに追加して取得する認証で「CLD」と略されます。
クラウドサービスの利用や提供についての安全な管理を審査します。 -
27701
ISMSに追加して取得する認証で「PIMS」と略されます。
個人情報の保護や利用について世界水準での安全管理を審査します。
防災やBCPの分野でも、安否確認サービス(安否確認システム)には社員名や連絡先情報といった個人情報が登録されていることから、安全な管理のため個人情報保護や情報セキュリティが必要とされています。
※連絡先等の情報が流出した場合は、個人情報の事故として雇用者にも責任が発生します
現在、多種多様な安否確認サービスが出回っており「安心」「セキュリティ」「信頼」をアピールしていますが、自己評価によるものか第三者による客観的な評価によるものか、注意が必要です。本当の意味で安心できるのは、自己評価ではなく第三者による客観的な評価(外部審査)を受けた安否確認サービスと言えます。
個人情報保護や情報セキュリティにISOが有効であることをご紹介しましたが「安否確認プライム」はISO 27001・ISO 27017・ISO 27701の3規格全てを取得し、安全な管理運営を実施している唯一の国内サービスです。
個人情報保護や情報セキュリティが社内/社外から求められる昨今、自社内の情報保管状況だけでなく利用するサービスやシステムも安全なものをご検討、ご活用ください。