ISO27701 ISMS-PIMS 認証取得のお話
LIDDELL株式会社(以下、リデル)で情報管理の責任者をやっています、久保と申します。コーポレート全般(人事は一部のみ)・情シス・セキュリティをやっています。
前回は「アカウントとパスワードとセキュリティのお話」ということで、1人情シス・セキュリティをOneLogin・LastPassで効率的に運用しています、というお話を書かせていただきました。
今回は前回予告させていただいたISO27701・ISMS-PIMS認証の取得について、
・検討・準備
・審査実施
・認証登録
までの一連の中で、「検討・準備」について書かせていただきます。
情報セキュリティで大切なのは
情報セキュリティでいちばん大切なのは、なんと言っても
・その重要性を知ってもらうこと
・興味を持ってもらうこと
これに尽きると思っています。
が…
これがいちばん難しい。
皆さん自分たちの業務スピードとトレードオフになるので、仕方がないことだと思っています。
ただしこの情報セキュリティの枠組みが、
・お客様からの信頼確保につながっている
・事業損失リスクを低減している
これらを理解してもらうことを目指して日々取り組んでいます。
ISO27701とは
ISO27701・ISMS-PIMSはISO27001・ISMSをベースとしたプライバシー保護についてのアドオン認証規格です。
世界各国でプライバシーに関する法規制が厳しくなる中、弊社でも多くのお客様情報をどのようなルールで管理していくか、課題感を持っていました。
そんな中、2020年11月にISO27701・ISMS-PIMS認証を取得することを意思決定し、認証機関は、一般財団法人日本科学技術連盟(以下、日科技連)様で、日科技連様の最初のISMS-PIMS認証取得組織として2021年7月27日に審査を通過しました。
ISO・ISMS・認証機関と弊社の関連については、社内で理解してもらう重要なポイントの1つです。
お客様の個人情報の取り扱いへの関心は非常に高く、担当メンバーはその取り組みについて説明する機会が多くあります。
関連についてはこちらの図で説明し、理解をしてもらっています。
スケジュール
ISO27701・ISMS-PIMSの認証取得に向け、2020年12月にキックオフを行いました。
規格・要求事項の理解からマニュアル修正、リスクアセスメントと文書化、そして内部監査実施とマネジメントレビューまでを6ヶ月かけて実施するスケジュールとしました。
規格要求事項をルールへ
ここから強化するルールとそれを管理するフォーマットを整備します。
【強化するルール】
① 個人情報を取得する際、事前に本人から「同意」を取得する
・各Webシステムの利用者の新規登録時
・資料ダウンロード、ウェビナー申込時
・採用応募者情報取得時
② 取得した個人情報に対し、保管形態・場所・期間と廃棄方法を事前に決定する
・各Webシステムの利用者登録情報は退会後7年間保管し削除
③ 取得した個人情報をどこの部門・組織のどの業務で、どの個人情報を利用するかを決定し、それ以外の業務では利用しない
・全社組織、業務と個人情報を分類し、その利用をマトリクス化
これらを管理するために以下のフォーマットを準備し、既存の関連規定の修正・更新を行って行きます。
・個人情報特定シート
・部門別個人情報業務フロー
・PII業務マトリクス
次回はISO27701・ISMS-PIMSの認証取得に向けて、全社に対してどんな働きかけをし、何をアウトプットしたかについて書きたいと思います!
インフルエンサーマーケティングの
LIDDELL/リデル
サービスの詳細は…
様々な職種で一緒に働く仲間を募集しています。
この記事が気に入ったらサポートをしてみませんか?