コラム

第三者認証とは?その種類と特徴など徹底比較


皆さんは「第三者認証」という言葉を聞いたことがありますか?「第三者認証」というと何か自分たち自身ではなく第三者が関係する認証制度ではないかというぼんやりとしたイメージを抱かれるのではないかと思います。

今回は、IT分野における「第三者認証」について、解説していきます。

「第三者認証」とは

第三者認証とは、端的に言うと「組織外の第三者によって審査され認証をうけるもの」です。例えば「JIS工業規格」や「ISO」などもすべて、組織自身ではなく第三者である外部機関が審査をして、承認を与えるものです。

こういった外部機関による「第三者認証」のメリットは、利害関係のない第三者による公正・公平な判断による審査ということで取引先や消費者といった外部からの信頼性の向上が期待できるところにあります。

IT分野における第三者認証

IT分野でも第三者認証は一般的となっており、多くの認証制度が存在します。近年は情報漏洩やマルウェアの感染など大規模なセキュリティ事故が話題になることも多く、こういった事例を踏まえた上で顧客からの信頼や企業イメージの向上などにつながるなどの大きなメリットがあります。

IT分野が対象になっている第三者認証のうち主なものを紹介すると以下のようになります。

  1. プライバシーマーク
  2. TRUSTe
  3. ISO27001/ISMS

これらのIT分野が対象となっている第三者認証制度について詳しく見ていきましょう。

1. プライバシーマーク

日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に基づいて、個人情報を適切に扱うための体制を構築していることを認証するものです。プライバシーマーク制度は以下のような意図で設けられています。

  • マークとして示すことで消費者に対して個人情報保護の意識を高めてもらうこと
  • 企業の製品などにマークをつけることで当該事業者のイメージアップ

2. TRUSTe

TRUSTeは1997年に米国で生まれた認証制度で、公平・公正な第三者機関であるTRUSTeがOECD(経済協力開発機構)のプライバシーガイドラインに基づいて個人情報・プライバシーの保護を実践していることを「審査・認証」し、適合した場合にTRUSTeマークの使用が許可されるというものです。

この認証制度では特にWebサイトに着目されています。サイトごと、アプリごとといった細かい審査と認証が行われますので、プライバシーマークのような全般的な内容を見るといった認証制度に比べると、Webサイトについてはより実践的で細かい内容まで審査対象になるのが特徴です。

3. ISO27001/ISMS

ISO27001/ISMSは、国際規格であるISO規格に基づいたもので、企業におけるすべての情報資産が対象です。プライバシーマークが個人情報、TRUSteが主にWebサイトを対象としていたのと異なり、「情報資産全般」を対象としているのは他の2つとの大きな違いです。

このようにISO27001/ISMSでは、個人情報のみならず情報資産すべてについての適切な管理が問われます。ここで念頭におかれるのが「機密性」「完全性」「可用性」という情報の三原則とも呼ばれるものです。ISO27001/ISMSでは、個人情報だけでなく情報資産の取り扱い全般についての企業や組織が守るべき指針が示されているものとなります。

組織の状況によって取得すべき認証は異なる

ここまでいくつかの第三者認証を例として掲げましたが、共通しているのはこれらが第三者による客観的な審査と評価によって組織の信頼を高めるための有効な手段であるということです。

ここで改めて、表にしてまとめると以下のようになります。

認証制度 プライバシーマーク TRUSTe ISO27001/ISMS
審査基準 JIS Q 15001 OECDのプライバシーガイドライン ISO27001
保護対象 個人情報全般 Webサイトに関連した個人情報など 情報資産全般
対外効果 消費者にアピール 消費者にアピール 顧客向けにアピール

改めて整理して見ていくと、ISO27001/ISMSは他の2つとは異なり、情報関連資産全般が対象になっていることがわかります。したがってISO27001/ISMSは企業間の契約や取引の際に組織としての情報資産の管理体制が明確にされていることを示すものとして活用されるケースが多いようです。

場合によっては、これらを取得していることが取引の前提条件になっているケースもあります。そのため、筆者が以前に勤務していた企業もそうでしたが企業によっては取引を継続して行なっていくため、また新規の受注を得るためにクリアすべき条件の一つとして捉えた上で、計画的に取得するケースも多くなっています。

まとめ

IT分野に限らず、第三者による認証を受けて企業の信頼性を顧客や消費者にPRすることは、今後企業が生き残り発展をするための非常に重要なポイントの一つとなっています。

IT分野でも、マイナンバーの施行やビッグデータの利活用など、さまざまな情報が今後さらに活用されていくことは間違いありません。こういった中で、第三者による認証制度の重要性はさらに増していくことになるでしょう。