個人情報と情報セキュリティといえば、大きな枠組みは当然のことながら、情報セキュリティです。
しかし、個人情報については、法律があるので、こちらの方が重要と言う人もいるでしょうが、情報を守るという観点での枠組み自体は、情報セキュリティの枠組みで十分で、特別なものを用意しなければならないと思っている人は、多分、情報セキュリティを理解していないだけのことと思います。
情報セキュリティで取扱うべき機密性を大きく分別すると、下記のようになります。
(1)厳秘or極秘
(2)秘密
(3)社外秘
(4)公開
(1)、(2)と(3)の差は、人を限定するかどうかによって分別され、(1)と(2)の差は、配布先をリストで管理する！とか配布後に情報の回収を行うかどうかによって、分別します。
では、個人情報はどこに分別すべきかというと、(1)になります。
従業員情報は別として、いわゆる、顧客情報については、情報を取扱う人が必ずしも、役員、社員以外の可能性もあるところが違い、これのリスク管理という点が情報セキュリティの枠組みを拡張しないといけないということぐらいなのです。