マイナンバー制度の開始により、社労士さんや税理士さんを中心に

プライバシーマークやISO27001(ISMS)の取得が増加しています。

情報セキュリティ意識の高まりは良いことだと思いますが、

「マイナンバー対策」として見るならば。

プライバシーマークはほぼ意味がありません。

プライバシーマークは「個人情報を守れ」と言ってるだけなんですよ。

元々が個人情報保護法が間に合わないんでできた規格だし。

どのように守れ、とか具体性はないし、

技術的側面の対策はほとんど盛り込まれていません。

何より、マイナンバーの安全管理措置に対応する要求事項がありません。

単に「マークあれば信用度が増すから」って発想だけなら

プライバシーマークも効果あるかも知れませんが、

セキュリティレベルの向上と社内のベストプラクティスを意識するなら

プライバシーマークは避けた方が無難です。

というのは、審査員（機関）の問題もあります。

プライバシーマークの審査員の多くは

個人情報保護法の際の「プライバシーマークバブル」で

誕生した方も多く、情報セキュリティの知識経験が無くても

ISO9001やISO14001の審査員資格持ってたら

数日の研修で審査員になれたんですよ。

そのため、技術的な話など何もできない

質の低い審査員も多いのですが、

それでも審査員の出す指摘は絶対の力を持ってしまいます。

コンサルタントも同様で、技術的アドバイスなど何もできず

書類を整えるだけ、なんてのも多いです。

特に悪名高きＩ社などは、審査ルール破りを平気で行っています。

優秀な審査員に当たれば、それでも効果は出てくるんですが

JIPDECでは同一審査員を連続で同じ会社に派遣することはありません。

前回審査で「こうしろ」と言われたことが

次回審査で「ダメ」なんてことがザラです。

ISO27001は不良審査員を訴える場所がありますし、

審査員自体に技術的力量が不足すれば「技術専門家」を

付けなければならないというルールもあります。

（守ってない審査機関も見受けられますが。。。）

もちろん、プライバシーマーク自体を悪いと言っているわけではありません。

ネットで個人情報を扱う業種などには

それなりの効果はあります。

ですが、繰り返しになりますが

「マイナンバー対策」として見るなら

プライバシーマークに効果はありません。

ISO27001にすべきです。

何より、公的機関はISO27001でマイナンバー対策やってます。

　・地方公共団体情報システム機構の自治体教育

　・サイバーセキュリティ経営ガイドラインの原案

　・マイナンバーガイドラインの安全管理措置

　・医療情報システムの安全管理に関するガイドライン

　・組織幹部のための情報セキュリティ対策

全てISO27001が基本となっています。

くれぐれも慌てて粗悪なコンサルタントに騙されて

「マイナンバー対策にプライバシーマーク」などと

短絡的に動かないようにしましょう。