参考資料集　プライバシーマーク

プライバシーマークにおける情報セキュリティツールの必要性

（※こちらより、拡大図（PDFファイル）をご覧になれます。）

そもそも「プライバシーマーク制度」は、情報化社会における個人情報の保護の必要性から派生した制度であり、技術的なセキュリティ対策を踏まえた、個人情報を保護するためのマネジメントシステムを要求しています。

よって、プライバシーマーク制度においては、何らかの技術的なセキュリティ対策は必要であります。

しかし、どのような技術的なセキュリティ対策が必要なのでしょうか？

右図を見ても分かるように、プライバシーマーク制度とは、個人情報保護法を補完する文書から派生した民間の制度であります。

このことを考えると、本来であれば個人情報保護法を補完する文書。「JIS Q 15001」および「経済産業分野を対象とするガイドライン」を基準として考えるべきであります。

しかし、これらの文書には、ともに情報セキュリティツールに関連する明確な（具体的な）記述は見られません。

そこで、これら2つの文書を保管する文書。プライバシーマーク制度を管理する組織（JIPDEC）が発行している「JIS Q 15001 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」を参考にすることが妥当だと考えられます。

この文書には、JIS Q 15001の各要求事項に対するチェック項目の記載があり、技術的対策に関しても、「JIS Q 15001」および「経済産業分野を対象とするガイドライン」のより具体的なチェック事項が記述されているといえます。

上図は、「JIS Q 15001 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」をもとに、プライバシーマークにおいて必要と思われる技術的なセキュリティ対策を明確にしたものです。
（※ルール化によるセキュリティ対策は、除外しています。）

明確にするにあたり、管理策（セキュリティ対策）のガイドラインである「ISO17799（情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範）」に示される事項を参考としました。

これにより、プライバシーマークにおいて必要と思われる技術的なセキュリティ対策（情報セキュリティツール）とは、どのようなことがあるのかが、少しは明確にされたのではないでしょうか？

ただ、ISO17799の管理策は、セキュリティ要求事項及びリスクを識別し、リスク対応の決定後、リスクを低減するために選択し、実施されることが望ましいものであるが、これらの管理策の妥当性は、組織が直面している固有のリスクに照らして決まります。

よって、ISO17799に示される管理策および実施の手引は、すべてが適用できるとは限らないず、組織によっては、ISO17799に記載されない管理策が必要となる場合もあることを留意しなければなりません。

例えば、他にも必要な情報セキュリティ対策がある場合。チェック項目を網羅する機能を持った情報セキュリティツールの採用。セキュリティツールを使わないルール化により対策など。