個人情報保護法関連の他資格と個人情報保護士の関連

 個人が受験して与えられる資格と、事業者に対して一定の認定をする制度が個人情報保護法に関連して存在します。

 例えば、特定非営利活動法人日本プライバシープロフェッショナル協会が実施する「個人情報取得責任者(CPO: Chief Privacy Officer)」、「個人情報取得管理者(CPP: Corporate Privacy Professional)」、「個人情報取扱従事者(CPA: Corporate Privacy Associate)」の各資格認定や、特定非営利活動法人日本プライバシーコンサルタント協会が実施する「認定プライバシーコンサルタント(JCPC: Japan Certified Privacy Consultant)」、「プライバシーシニアコンサルタント(CSPC: Certified Senior Privacy Consultant)」、「プライバシーコンサルタント(CPC: Certified Privacy Consultant)」、「プライバシーコンサルタント補(APC: Associate Privacy Consultant)」の各資格認定、そして特定非営利活動法人日本技術者連盟が実施する「認定プライバシーコンプライアンスオフィサー(CPCO)」資格認定などが、「個人情報保護士」以外に存在するが、これらの中で試験のみで取得できるという点や、受験者の多さという点において「個人情報保護士」試験が際立っているという印象を受ける。

 次に事業者が一定の条件を満たすことによって認定されるものとして「プライバシーマーク」制度と「ISMS」制度があるが、これらについては「個人情報保護士」試験でもよく出題されることから特に詳しく説明しておきたい。

 

①プライバシーマーク

 個人情報保護に関して一定の要件を満たした事業者に対して、財団法人日本情報処理開発機構(JIPDEC)により使用が認められる登録商標、別名Pマークで、1998念から開始した制度。

 JISQ15001(個人情報保護マネジメントシステムの要求事項)に適合した個人情報保護体制を構築していることを認定する制度であり、個人情報保護法が定める個人情報取扱事業者の義務よりも一層厳しいものとなっている。Pマーク申請の後に、書類審査がなされ、次に事業所への立ち入りを含む現地調査の上、JISQ15001への適合が認められると、審査合格事業者とJIPDECの間でPマークのしようを許諾する契約(有料)を締結する。契約の期間は2年間であり、更新を受ける場合には、再度更新審査を受ける必要がある。Pマークの認定の後に、組織的にJISQ15001に違反すると、Pマーク使用の取り消しや、違反事業者名をJIPDECのホームページ上で2年間公表するというペナルティを受ける。個人情報を取り扱う事業者で取得する企業は多い。

 

②情報セキュリティマネジメントシステム(ISMS Information Security Management System

 主にデータセンターなどの施設・建物に関する物理的対策に関するものであった旧「情報システム安全対策実施事業者認定制度」が、2000年に当時の通商産業省から公表された「情報セキュリティ管理に関する国際スタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づいて改正され、財団法人情報処理開発協会(JIPDEC)でスタートさせた民間主導による情報セキュリティに関する第三者認定制度。

 英国規格協会(BSI)が策定した情報セキュリティに関する規格であるBS7799に基づいて策定された。

 BS7799は

Part1 情報セキュリティ管理の実施基準

Part2  その仕様

 の二つのパートから構成されるが、ISMSはパート2が元になって多少Part1を加味して策定された。尚Part1は、ISO/IEC17799としてISO化され、これはJISQ27002としてJIS規格化された。Part2も、ISO/IEC27001としてISO化され、JISQ27001としてJIS規格化されている。情報資産として企業にはどのようなものがあるかを洗い出し、その資産に対してどのようなセキュリティリスクがあるかその確率はどの程度か、リスクが顕在化したときにどの程度の損害があるか(リスク強度)を分析して、リスクを軽減することでセキュリティを高めるためのPDCAサイクルを定めたものである。ちなみにプライバシーマークのところでも出てくる「マネジメントシステム」とは、PDCAサイクル、すなわちPLAN(計画)、DO(実行)、CHECK、ACTION(対策実行)の繰り返しを行うことによって、業務プロセスが常に最適になるようになる体制のことであり、ISOで言う、マネジメントシステムとは常にこの意味であるということに留意しておきたい。(試験でも狙われることの多い論点です)

 以上のように様々な個人情報保護に関する資格認定が存在するものの、プライバシーマーク、ISMSは事業者が認定を受けるものであり、個人が取得できる資格の中で試験だけで簡単に取得でき、なおかつ受験者が多いという意味で知名度が特に高いのは「個人情報保護士」試験であるということが出来る。


スポンサードリンク

Copyright © 2006 個人情報保護士資格試験ガイド. All rights reserved