Pマークコンサル補足｜Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞ Pマーク関連用語集 ＞ Ｐマーク関連用語集「か〜こ」

　　Pマーク関連用語集　「か〜こ」

　開示

Pマークでは、保有個人データの利用目的の通知、保有個人データの開示、保有個人データの内容の訂正、追加又は削除、保有個人データの利用の停止又は消去、保有個人データの第三者への提供の停止などをいう。

　開示対象個人情報

電子計算機を用いて検索することができる様に体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であり、事業者が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者提供の停止の求めの全てに応じることができる権限を有するもの。

　外部文書　

Pマークや情報セキュリティマネジメントシステムを運営していく上で必要な文書のうち、当組織以外で作成した文書のこと。

　可用性

認可されたエンティティ（団体等）が要求したときに、アクセス及び使用が可能である特性。　

　簡易リスク分析（ベースラインアプローチ）

一般の情報セキュリティの基準や業界などで採用されているガイドラインなどを参照して実現可能な水準（ベースライン）の管理策を採用し、組織全体でセキュリティ対策に抜け、漏れがないように補強していく分析手法。

　完全性

資産の正確さ及び完全さを保護する特性。

　監査

組織のマネジメントシステムが要求事項に適合していることを確認する為のプロセス。大別して社内で行う内部監査と社外kらの外部監査がある。　

　監査員

監査を実施する人　

　監査基準

監査を行う際に判定を行う目安になるもの（値）。たとえば外部からの監査として行われる審査では、マネジメントシステムへの適合性という観点で審査を受けるため、この場合の基準は対象のマネジメントシステムの規格となる。

　監査結論

監査員が発見した客観的証拠を基に、監査目的、業務の運用状況を加味した上でくだす監査の結果。

　監査証拠

監査を行い検出された証拠で記録、文書などで検証が行えるもの。ここでいう証拠とは、客観的証拠（普遍的）であることが必要。　

　監査証跡　

情報処理のプロセスが追跡できるようにした記録。 ログファイル等がこれにあたる。

　監査チーム　

監査を行う１人以上の集団。

　管理責任者　

トップマネジメント（最高位の経営者）によって、マネジメントシステムの運営についての責任と権限を委譲された人。品質マネジメントシステムでは「品質管理責任者」環境マネジメントシステムでは「環境管理責任者」。

　規格　

工業製品などの品質・大きさ・形状などについて定められた基準、もしくは判断の基準となる社会的な標準。

　規格要求事項

ISOの規格に規定された「〜しなければならない」という要求された項目。（shall項目）　

　技術的安全管理措置

個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置。

　技術的保守点検

ハードウェア及びソフトウェアの制御が正しく実施されていることを確実にするために行われる運用システムの点検。

　キックオフ

ISOの用語では、認証する為の活動をスタートさせる日を指す。（キックオフ宣言）

　規範　

行動や判断の基準となる模範。手本、原則など。

　機微な情報（センシティブな情報）

以下の内容を含む個人情報の事。
ａ）思想、信条又は宗教に関する事項
ｂ）人種、民族、門地、本籍地（所在都道府県に関する情報を除く）、身体・精神障害、犯
　　罪歴その他社会的差別の原因となる事項
ｄ）集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項

ｅ）保健医療又は性生活に関する事項

　機密性

許可されていない個人、エンティティ（団体等）又はプロセスに対して、情報を使用不可又は非公開にする特性。

　脅威

悪意が伴うかに関係なく、結果的に組織が保有する情報資産に対して害を及ぼす、または発生する可能性のある事象。盗難や不正アクセス、紛失、操作ミス、故障などの他に、地震や火災、洪水といったものも脅威と考えらる。　

　ギャップ分析

JIS Q 15001やISO27001の付属書Aの管理策と現状を比較して、そのギャップ（乖離）を分析・理解・把握するための手法。

　旧JIS

JIS Q 15001:1999の事。2008年11月19日で廃止され現在はJIS Q 15001:2006年版で、38の要求事項あり。　

　教育　

組織の全ての従業員、並びに、関係するならば、契約相手及び第三者の利用者などに行う情報セキュリティマネジメントシステムについての教育

　共同利用　

個人情報を特定の者との間で共同して利用するさい、特定の項目をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いていること。共同利用は、第三者提供には該当しない。経済産業省ガイドラインには、共同利用の例として以下が示されている。
　例１）グループ企業で総合的なサービスを提供するために利用目的の範囲内で情報を共同利用する場合
　例２）親子兄弟会社の間で利用目的の範囲内で個人データを共同利用する場合
　例３）外国の会社と利用目的の範囲内で個人データを共同利用する場合

　業務システム

情報を適切に処理・編集・保存・管理・流通させるために構築されるコンピュータやネットワークを利用した仕組みのこと。一般的には、コンピュータとネットワーク、それを制御するソフトウェア、その運用体制や設計思想までを含んだものの全体のこと。

　業務フロー

インプットからアウトプットまでの仕事の流れ。サービス開始からサービス終了までの業務の流れ。（業務フロー図）

　記録

一般的な意味での記録ではなく，PマークやISMSの規格が要求する情報セキュリティマネジメントシステムの運用において必要となる記録のこと。

　Cookie

ユーザ情報やアクセス履歴などの情報をWebブラウザとWebサーバ間でやりとりするための仕組み。Webサーバは、ユーザ側のPCに、ホームページのアクセス履歴や書き込んだ氏名、住所やメールアドレス、購入した商品など、様々な情報をCookieとして記録し、保存することができる。

　組み合わせアプローチ（複合アプローチ）

複数の分析手法を組み合わせて行う分析手法。

　クリアスクリーン

個人情報の盗み見や不正アクセス等を防止するため、PCの画面をロックすること。離席時等にはPCをログオフ、シャットダウンする、パスワードロック付きのスクリーンセーバを使用するなどがあげられる。　

　クリアデスク

個人情報の盗難や紛失等を防止するため、机上から個人情報を取り除くこと。　

　グローバルスタンダード

特定の国や地域だけではなく、世界共通で適用される基準や規格のこと。実際のビジネスでは、ISOなどの国際規格だけでなく民間企業の決めた規格や技術なども含めてグローバルに広がったもののことをいい「デファクト・スタンダード」のことを指す場合も多い。

　クロックの同期

コンピュータ内の時間を万国標準時(UCT)や現地の標準時間などに合わせること。　

　継続的改善　

企業（組織）が要求事項（社内ルール、規格、法規制、顧客要求）を達成する為に、PDCAサイクルを用いて継続的に能力を高めていく活動。

　軽微な不適合

マイナー不適合と同義で審査判定分類の一つ。深刻ではない場合に指摘されるケースが多い。

　検証　

記録や文書等の客観的証拠を基準にして、要求事項が満たされていることを確認すること。

　公表

広く一般に自己の意思を知らせること（国民一般その他不特定多数の人々が知ることができるように発表すること）をいう。公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。　

　更新審査

ISO規格の認証取得後、定期的（3年に一度）に実施される審査機関による審査。

　顧客

ISOでは品質マネジメントシステムが製品（サービス）を提供する相手。

　顧客支給品

顧客から無料提供あるいは借受けされたものの総称。例えば、製品梱包の為の梱包材、建築現場の現場事務所など。

　顧客満足

顧客が製品（サービス）を提供された際に感じる満足度の程度。

　顧客要求事項

製品或いはサービスに関して顧客が注文（要求）した事項。例えば品名、数量、使用、納期、価格など。

　コミットメント

組織の内外部に対してトップマネジメントが具体的に決意表明すること。宣言、約束など。

　個人情報

個人に関する情報であって，当該情報に含まれる氏名，生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ，それによって特定の個人を識別することができることとなるものを含む。）。

　個人情報保護法

本人の意図しない個人情報の不正な流用や、個人情報を扱う事業者がずさんなデータ管理をしないように、一定数以上の個人情報を取り扱う事業者を対象に義務を課す59条からなる法律。2005年4月より全面施行される。

　個人情報保護マネジメントシステム

事業者が，自らの事業の用に供する個人情報について，その有用性に配慮しつつ，個人の権利利益を保護するための方針，体制，計画，実施，点検及び見直しを含むマネジメントシステム。

　個人情報保護管理責任者

代表者によって事業者の内部の者から指名された者であって，個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者。

　個人情報保護監査責任者

代表者によって事業者の内部の者から指名された者であって，公平，かつ，客観的な立場にあり，監査の実施及び報告を行う責任及び権限をもつ者。

　個人情報保護基本規程

「Pマークにおける基本方針」や「JISQ15001」を受けて作成されPMSについて確立された「文書化された手順」又はそれらを参照できるPマーク文書の最上位に位置される文書。　

　個人情報データベース

特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、カルテや指導要録等、紙面で処理した個人情報を一定の規則（例えば、五十音順、年月日順等）に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの。　

　個人データ

個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報。

　個人情報取扱事業者

国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律（平成１５年法律第５９号）で定める独立行政法人等、地方独立行政法人法（平成１５年法律第１１８号）で定める地方独立行政法人並びにその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者を除いた、個人情報データベース等を事業の用に供している者。

　個人情報保護方針（プライバシーポリシー）

事業者が、個人情報保護法や JIS Q 15001（個人情報保護に関するマネジメントシステムの要求事項）を遵守し、個人情報保護に取り組むことを社内外に宣言する方針。

　コンプライアンス(CP)

社会常識(倫理)や法令、社内規定、マニュアル等を遵守し、フェアな企業活動を営んでいくこと