BS 10012でデータを守る

企業組織は個人情報の適切なマネジメントに注意を向ける必要がありますBreda CorishAlan Shipman氏がBS10012の有用性について説明しています

 

近年、効果的な情報ガバナンスへのニーズが全ての組織の課題としてこれまでになく存在感を増しています。情報、特に個人情報は資産であるという認識が広く浸透しています。しかし、これは一種の債務となりうるものであり、前英国情報コミッショナーであるRichard Thomas氏の言葉を借りれば、「誤った運営管理に陥ると焦げ付いた債務になる」のです。

新しい技術の進歩とともに、組織は容易に大量の個人情報を収集し、顧客により良いサービスを提供できるようになりました。しかし、この技術進歩に伴って個人のプライバシー(特に釣合と保持に関して)への影響に関する懸念が台頭し、効果的な情報ガバナンスを行っている会社のみが対処できるこれまでになく大きな課題となっています。

英国では、組織の個人情報保護へのニーズは1988年のデータ保護法の成立という法規制を通して強化されました。この法律の実施に関する実践的なガイダンスを発行している唯一の組織がBSIです。1998年、BSIは個人情報のマネジメントに関する実践的なガイダンスへのニーズを明確にしている産業界、政府、民間セクターから専門家を集めました。これが英国のデータ保護法実施の指針であるBIP 0012の発行のきっかけとなり、その後引き続き開発が行われることとなりました。

2007年、この専門家グループは組織が容易に採用できるマネジメントシステムを規定したより正式な文書へのニーズを明確にしました。その結果、BS 10012情報マネジメント‐個人情報マネジメントシステムの指針が生まれたのです。

BS 10012

BS 10012の目的は個人情報の運営管理に共通の土台と信頼を与えることです。この規格に照らしてデータ保護に関する法規制への適合性やグッドプラクティスに対する内部または外部審査員による効果的な審査を行うことにより、組織は責任を負うべきデータの運営管理へのコミットメントを示すことができるのです。

規格の序文を引用すると、本規格の目的は「組織がデータ保護に関する法規制への適合性とグッドプラクティスを維持、改善するための枠組みを与える個人情報マネジメントシステムを全体的な情報ガバナンスのインフラストラクチャーとして整備する」ことです。

BS 10012はあらゆる規模及びセクターの組織が使用できるように設計されており、組織内における個人情報マネジメントの導入、実施、維持責任者による使用を意図しています。個人情報マネジメントの枠組みとしてこれまで十分に試行されてきたPDCAモデルが適用されており、組織の既存の情報ガバナンスの枠組みに十分調和するものとなっています。

本規格に記述されているマネジメントシステムは、以下のような数多くの要素から成る枠組みを抱合するものとなっています。

  • 個人情報マネジメント方針の開発及び承認
  • システムのためのアカウンタビリティと責任の配置
  • システムの運用に必要な資源の提供
  • 組織が運営管理する、高リスクの情報を含む個人情報を明確にする
  • 個人情報を取り扱う全ての要員の教育訓練及び認識
  • 個人情報の運営管理に関連するリスクアセスメント
  • 英国情報委員会(ICO)へのデータ処理に関する通知義務
  • 公正で法律に従ったデータ処理
  • 適切性、関連性、正確性及び保持
  • 個人の権利
  • 個人情報のセキュリティ
  • 海外への移送
  • 下請負契約者を使用したデータ処理
  • システムの監視及び改善

組織はその規模や複雑さによって1つまたは複数の個人情報マネジメントシステムを持つことができることに留意すべきでしょう。

他の同種の規格と同じく、BS 10012は規範的な規格ではありません。どのように運用すべきかについて逐一規定するのではなく、組織が個人情報を効果的に運営管理することができるような枠組みを与えるものです。例えば、規格は組織が確実に十分な指針やスタッフのような資源を提供し、データ処理が生じる際に積極的な文化を築くことに焦点を当てています。

BS 10012の枠組みに従うことを選択した組織は、どのようにこの枠組みの要求事項に適合するのが最も良いのかを決定する余地があります。例えば、組織はリスクアセスメントを実施しなければなりませんが、それを行うに当たって、自社のリスクアセスメント手法を適用するのか、または英国情報協会が発行しているプライバシー影響アセスメントガイドラインなど、その他の有用な方法を適用するのかについては組織に選択を委ねられることになります。

人々、方針、技術がすべて情報マネジメントのソルーションに不可欠な要素であることを認識している点で、この新規格は組織がデータ保護に関する法規制への適合やグッドプラクティスを達成するための一助となるようなマネジメントの枠組みを組織内に導入する際の手助けとなるでしょう。

著者について
 Breda Corish氏 はBSIのマテリアル&ヘルスケア、ICT、エレクトロニクスに関する市場開発部門の責任者です。Alan Shipman氏はGroup 5 Training 社の代表取締役です。

Online Forums logo