タイトルに間違いはないと思うんだけど・・・・

「ISMS（情報セキュリティ・マネジメント・システム）認証を取れば、

個人情報保護法対策をカバーできると考えるのは不勉強だ」

えっと、ISMS Ver2の要求事項４．２のISMSの確立及び運営管理の（１）ISMSの確立の②とか③の中で法的及び規制要求事項を考慮するとか書いてあるので、
「法は守れ！！」
ってことだと思うんだけど。
法律で書かれている内容を満たしていないと、法的及び規制要求事項を考慮していないとしてISMS Ver2要求事項４．２の不適合になるような気がする。

個人情報の保護に関する法律の「第４章　個人情報取扱事業者の義務等」の「第１節　個人情報取扱事業者の義務」の中にそういった内容があれば、ちゃんと考慮してISMSを確立しなくてはならないと思う。
だから、

個人情報保護法に準拠するためには、個人情報の利用目的を管理したり、

本人に個人情報の開示や変更、利用停止を求められた場合の社内体制を

作る必要がある。

とか

むしろ問題なのは「データベースでの管理」だという。例えば1万人に

ダイレクト・メールを出そうとした場合、利用目的の範囲内で出せるか

どうかをすべての個人情報についてチェックしなければならない。

複数の異なった利用目的を持つ個人情報が単一のデータベースに混在

している場合、チェック作業は大変だ。利用目的を管理することを念頭に

置いていないデータベースだと、事実上、個人情報の利用は不可能に

なってしまう。つまり、個人情報保護法への対応は「データベースの設計に

関わる問題」

とかではなく、ISMSは、そういったことを考慮して、体制および手順を作り管理策を施すということではないのか？

ISMS基本方針策定で法的要求事項を考慮して作っても、運用や管理策で実施できていなければ、基本方針に対する矛盾となり、不適合か観察事項になるのかな？

また、プライバシーマーク（JIS Q 15001）はもっとはっきり書いてある。
要求事項４．３．２法令及びその他の規範に「事業者は、個人情報に関する法令及びその他の規範を特定し、参照できる手順を確立し、維持しなければならない」
だから、上記のようなことを考慮し適切に体制や手順を作り、管理策をしないと不適合になる。

追記：2004.8.31
現在、ISMSと法的要求の関係を調査中・・・どうも、個人情報保護法対策のすべてをISMSでは網羅できないのは本当らしい。
明確にわかったらまた書くことにする。