JISQ15001, JISQ27001, JISQ27002 一挙にリリース
情報セキュリティに関するJIS規格が5/20(公示22日)に一挙に公開された。ものすごーくややこしいので概要をメモしておく。
- JISQ15001
- 正式にはJISQ15001:2006(個人情報保護マネジメントシステム−要求事項)というタイトルで、旧JISQ15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)を置き換える規格である。JISQ15001はプライバシーマーク制度において事業者が従うべき要求事項としての役割を担っていたが、2005年4月の個人情報保護法の全面施行によって内容に不整合が生じるようになったために、両者の関係を整理するために改正したのが今回のJISQ15001:2006ということになる。プライバシーマーク制度も新JISに移行することが決定しており、これからマークを申請する事業者だけでなく、すでに取得済みの事業者も今後の更新時に対応をせまられることになる。
- JISQ27001
- 正式にはJISQ27001:2006(情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項)というタイトルで、ISO/IEC27001:2005をJIS化した規格である。情報セキュリティマネジメントシステム(ISMS:Information Security Management System)を確立、運用していくうえで必要となる事項をまとめたもので、BS7799という英国規格の認証基準であるBS7799-2がもとになっている。このBS7799-2が2002年に改定され(BS7799-2:2002)、さらにこれがISMS認証のための国際規格として発行されたのがISO/IEC27001:2005となっている。うーん、ややこしい。ちなみに日本のISMS適合性評価制度(ISMS認証)は上記BS7799-2をベースとして独自のISMS認証基準というものを策定していたが、今回のISO化およびJIS化の流れに沿って認証基準をISO/IEC27001(JISQ27001)に移行することが決定している。詳しくは参考リンクにあるJIPDECのページを見ましょう。
- JISQ27002
- 正式にはJISQ27002:2006(情報技術−セキュリティ技術−情報セキュリティマネジメントの実践のための規範)というタイトルで、ISO/IEC17799:2005をJIS化した規格である。この規格もまた非常にややこしい生い立ちをかかえている。もともと英国規格のBS7799という情報セキュリティマネジメントに関するベストプラクティス集があり、これは世界中で参照されていて事実上の世界標準だった。そこで2000年にこれが国際規格となりISO/IEC17799:2000として発行された。(ちなみにこれをJIS化したものはJISX5080:2002となっている。)さてこのISO/IEC17799は2005年に改定されてISO/IEC17799:2005となる。でさらにややこしいのだが、情報セキュリティ関係の規格は全てISO27000シリーズとしてまとめることになったので、2007年4月からは17799ではなく27002に規格番号を変更する予定になっている。今回のJIS化はこの動きを先取りしたものである。結局ISO/IEC17799:2005をJIS化したのが今回のJISQ27002なのだが、規格番号だけは27001とあわせてISOよりも先に27002にしちゃったということのようだ。あー、ややこしい。
このあたりの超ややこしい規格の動きについては、JIPDECのISMS適合性評価制度のページにある「ISO/IEC27001への移行計画」にある図をみるとわかりやすいかも。あとJISはJISC(日本工業標準調査会)のページで検索してPDFを読むことができる。
なおISO27000シリーズは今回の27001と27002だけではない。27000は共通する用語や定義(ISO/IEC13335-1がベース)、27003は実装ガイドライン、27004は測定基準、27005はリスク管理基準(ISO/IEC13335-2)などとなっており、現在ドラフト版が策定されているようだ。27006以降もいろいろ検討されているらしいが詳細はよく知らない。
なお全くの個人的な意見ではあるが、私はこういう認証基準とかベストプラクティスとかが大嫌いだ。(じゃあ紹介するなよという突っ込みはまあ置いといて。)
だって要はやるべきことを勝手に誰かが決めていて、みんながそれでうまくいっているんだから、おまえもそれに従えってことでしょ?なんだか窮屈で自由がないんだよなぁ。そうはいっても私の所属している組織はプライバシーマークもISMS認証も両方取得していて自分もどっぷりつかっているんだけど。そういう「みんながやってるから」的な発想にはついつい反抗したくなる。
参考リンク
- JISC 日本工業標準調査会
- 個人情報保護(METI/経済産業省)
- プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
- http://www.isms.jipdec.jp/
- New ISO series of 27000 standards
Technorati: JISQ15001, JISQ27001, JISQ27002, ISO/IEC17799, BS7799, ISO/IEC27000, ISMS, プライバシーマーク
