fbpx

情報セキュリティにまつわる
お役立ち情報を発信

社労士様のISMSへの誤解【プライバシーマーク取得の基礎知識】

仲手川です。

今、社労士業界では、マイナンバー制度の開始に伴い第三者認証による信用アップが、顧客開拓に効果的なブランディングとして有効なことが実証されているため、プライバシーマーク取得や、ISOの情報マネジメント認証規格であるISMS(ISO27001)を取得されることがちょっとしたブームになっております。

150px-Shakaihokenroumushi_badge

 

社労士事務所のプライバシーマーク取得の現状

この波はほんの一昨年より始まったばかりの傾向ですが、2012年までは十数社しかいなかった社労士事務所のプライバシーマーク取得数が現在は7倍に増え、今でも毎月取得事業所としてデビューし続けております。
弊社でも多くの社労士事務所様のプライバシーマーク取得を支援させて頂きました。

 

社労士様の出張相談に行ってきました

本日は関西方面の社労士様よりお問い合わせを戴き、私が出張相談にご訪問して参りました。
その先生は、プライバシーマークとISMS、どちらを取得するか迷っておられました。

なぜなら、その先生はお知り合いより

「プライバシーマークは事業所単位での取得だが、ISMSはその場所単位なので、社労士事務所だけではない複数が同居する事務所であれば、ISMSを取れば全部に使用できるのでお得」とのことでした。

「プライバシーマークであれば3つの会社それぞれでとらなければならないから」と。

しかし、結論から申しましてこれは全くの誤解です

 

ISMS取得に関する誤解


事業所が違えば、ISMSの適用範囲を共有することはできません。

ましてやISMSロゴを同居であるからといえ他の事業所で使用することなどはできません。

万一不正な使用方法で使用していることが審査機関に発覚した場合は、使用停止の是正警告を受け、一定期間内に改善を行わない場合は、審査機関のHP上で「不正使用事業所」として公開され、最悪認証の取り消し処分を受けます。

コンプライアンスの為に取得した第三者認証が、使用方法を誤ったために違反者とて晒され、本末転倒なことになってしまった事業所を今までたくさん見てきました。

認証の使用方法にはいろいろな規制や制限、ルールがありますのでしっかり守って使用する必要があります。

さて、ではなぜこのような悪しき都市伝説がまかり通っているのでしょうか?

 

他にも認証を取り巻く誤説はいっぱいあるようです

「JIPDECよりも地方の審査機関の方は審査基準が軽い(審査なので違う訳ありません。※ただ、審査員による差は全国的にありますが)」

「うちの会社がコンサルすれば、Pマーク現地審査に立会い(違法行為)ができる」

などなど、様々な誤った噂は後を絶ちません。

 

この誤った噂はいったいなんなのでしょうか

我々で調べた結果、遂にわかりました。

それは、認証取得支援をしているコンサルタント会社(我々と同業)の、ごく一部の会社がそのような風説の流布を行っているからです。

コンサル会社としては、プライバシーマークのように一回とってしまえば更新(2年後)までコンサル側はほとんど何もする事のない支援業務より、ISMSのように複雑で且つ毎年膨大な運用作業と申請(ISMSの実地審査は3年に一度ですが、毎年年一回サーベイランス(ミニ審査)という申請をしなければならない)をしなければならない方が、売上金額も多く、場合によっては月額で定期コンサルフィーを支払ってもらえるのでビジネスとしてメリットがあるからです。

また、Pマークであれば、場合によっては次回の更新は自社で内製化し行えることはあっても、ISMSとなると、内製化するには比較的難易度が高く、継続的にコンサル会社のお世話になる事が多いからです。

ですので、プライバシーマークを取得しようとしている会社様へISMSを勧めるビジネススキームを実践されているといっても他なりません。

そして、実際ISMSの取得が始まってみれば、各会社で使用するにはそれぞれ取得の必要があることが分かります。

ただ、大変な作業なため結局は一つにするといった具合です。
※別会社で同様の運用内容を別で申請し、同様に取得するという作業負担が一回で済むという意味では併用ということかもしれませんが、、、申請と審査は別です。もちろん実費コストも倍です。

使用範囲をあいまいにしたまま使わせてしまっている会社もあるようですので極めて悪質と言っても過言ではありません。

 

ISMSがいけないわけでは決してありません

実際にISMSが必要な業種業態であれば、プライバシーマークでカバーできない細かい業務フローやハッカー対策等の具体的な安全管理処置の文章化は必要です。

一応ISOの国際基準を満たしていることの証明にはなりますし、知名度としても外国から見ればPマークよりはあるのも確かです。

弊社でもISMSの取得支援業務はIT企業を中心に行っており、弊社のお客様のご状況だけでもISMSを取得してチャンスが広がっている会社はたくさんあります。

ISMSは素晴らしい認証です。

しかし、社労士事務所であれば、果たしてそこまで必要かどうかは、甚だ疑問が残るところなのです。

ISMSをきちんと正しく取得しようとした場合、規定つくりや教育内容はプライバシーマークと比較にならないレベルで担当者に負担がかかります。

またテマだけではなく、コストや日数もプライバシーマークよりかかることを覚悟しておかなければなりません。

 

弊社のコンサルタントの見解

ちなみに、弊社のコンサルタントは現役の審査員も含めた認定審査機関の審査員資格保持者でチームを作っておりまが、社労士事務所にISMSは必要ないと口をそろえます。
審査機関の見解ではないですが、経験豊富なベテランの意見としては参考になります。

先日、既にISMSを取得していた会社様が、今回のマイナンバー制度の開始に伴い、新たにプライバシーマークも取得されるとのことで、弊社でお手伝いをさせて頂く機会を戴きました。

 

コチラのお客様では、ISMSは「100%コンサル会社にアウトソーシング」されているとのことで、実態は情報マネジメントシステムの構築や理解とはほど遠いものでした。

何も事件事故がなければ関係ありませんが、この状態では万一事故の疑いがある際の振り返りが出来ないことはもとより、来年から始まる個人情報保護委員会の立ち入り調査が仮にあった場合、認証取得企業としては恥かしい結果になる事は容易に想像できます。

当たり前ですがプライバシーマークも、ISMSも、実際の姿勢が伴っている事の証明です。

不必要なレベルへの投資は費用面でもったいないコストロスです。

ご自身の業種業態、状況に適した無理のない認証を選択することが、その認証の意味と効果を発揮する要素なのです。

 

プライバシーマークとISMSは似て非なるものです

本来はまったく別物です。

しかし現在、現実の意味としてはプライバシーマークでもISMSでも同等になってしまっているのが実態です。

公共事業の入札条件や、大手企業との取引にセキュリティー認定保持を求める会社でも、どちらかを持っていればよいとされているところが一般的です。

サーバー管理やクラウドシステムを運営している事業所を除いて、ISMSじゃなければだめということは少ないです。

要は、ISMSでもPマーク(プライバシーマーク)でも、他社との差別化、営業効率、ブランディングとしてお考えなのであれば、結局のところ対外的意味としてはどちらでもよいのです。

認証制度の選択には、まず何のためにとるかの「目的」を明確にすることです。

どちらも情報マネジメントシステムのPDCAを回している事業所であることの証明ですが、そのうえで法令順守をアピールするか、セキュリティー環境の物理的な設計図を明確に持っていることを社内外と共有したいか、そのどちらかだと思います。

大手企業との取引も取引予定も全くなく、周りに脅威な競合がいないのであれば、極端な話SRP(※)で十分です。
※SRP:社会保険労務士連合会が認可する個人情報取り扱い適正事業所認定。

ちなみに、本日出張相談会にてご訪問させて頂きました社労士先生はプライバシーマークをご取得なされるとのことでした。

現在でもエリアNO1の労務管理事務所様ですが、来年から一気に業務拡大されるとのことでしたので、プライバシーマークでも絶対取得効果を実感されることでしょう。

とにかく大手企業はコンプライアンス重視です。

大手から見て情報漏えい企業はブラック企業なのです。

この傾向は来年さらに広がります。

 

まとめ

それでも「いや、うちはPマークよりISMSをとりたい!」とおっしゃられる社労士様は、人的コスト、時間的コスト、経済的コストを踏まえ、それ以上のメリットを模索(具体的に顧客からの依頼など)してから検討されることが、ISMSにされるポイントだと思います。

★こちらの記事もおすすめ

→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている?(ISMS取得事業者からよくある質問)】

この記事を書いた人

仲手川

仲手川

■出身地:神奈川県 ■趣味:読書、格闘技観戦 ■苦手なもの:混雑している場所 ■著書:Pマーク・ISMSを取ろうと思ったら読む本(幻冬舎) 東京、名古屋、大阪、福岡にオフィスを構える株式会社UPFです。 日本全国を対象にISMS、プライバシーマークの新規取得と取得後の運用支援コンサルティング事業をしております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846 セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る