第三者認証

第三者認証とは

IT分野でも第三者認証は一般的となっており、多くの認証制度が存在します。近年は情報漏洩やマルウェアの感染など大規模なセキュリティ事故が話題になることも多く、こういった事例を踏まえた上で顧客からの信頼や企業イメージの向上などにつながるなどの大きなメリットがあります。

IT分野が対象になっている第三者認証のうち主なものを紹介すると以下のようになります。

  1. プライバシーマーク
  2. TRUSTe
  3. ISO27001/ISMS

これらのIT分野が対象となっている第三者認証制度について詳しく見ていきましょう。

1. プライバシーマーク

日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に基づいて、個人情報を適切に扱うための体制を構築していることを認証するものです。プライバシーマーク制度は以下のような意図で設けられています。

  • マークとして示すことで消費者に対して個人情報保護の意識を高めてもらうこと
  • 企業の製品などにマークをつけることで当該事業者のイメージアップ

2. TRUSTe

TRUSTeは1997年に米国で生まれた認証制度で、公平・公正な第三者機関であるTRUSTeがOECD(経済協力開発機構)のプライバシーガイドラインに基づいて個人情報・プライバシーの保護を実践していることを「審査・認証」し、適合した場合にTRUSTeマークの使用が許可されるというものです。

この認証制度では特にWebサイトに着目されています。サイトごと、アプリごとといった細かい審査と認証が行われますので、プライバシーマークのような全般的な内容を見るといった認証制度に比べると、Webサイトについてはより実践的で細かい内容まで審査対象になるのが特徴です。

3. ISO27001/ISMS

ISO27001/ISMSは、国際規格であるISO規格に基づいたもので、企業におけるすべての情報資産が対象です。プライバシーマークが個人情報、TRUSteが主にWebサイトを対象としていたのと異なり、「情報資産全般」を対象としているのは他の2つとの大きな違いです。

このようにISO27001/ISMSでは、個人情報のみならず情報資産すべてについての適切な管理が問われます。ここで念頭におかれるのが「機密性」「完全性」「可用性」という情報の三原則とも呼ばれるものです。ISO27001/ISMSでは、個人情報だけでなく情報資産の取り扱い全般についての企業や組織が守るべき指針が示されているものとなります。