会社のプライバシーマークとISMSの必要性の差

最近、どのような企業でも取り入れられているプライバシーマークやISMSには、どのような違いがあるのでしょうか？プライバシーマークとは、Pマークとも呼ばれ、個人情報の保護に関して一定の要件を満たした事業者や法人に対して、一般財団法人日本情報経済社会推進協会 (JIPDEC) によって使用を認められた登録商標のことを言います。

ISMS（ISO27001/ISMS）とは、国際標準規格 （ISO/IEC27001：2013、日本工業規格 JISQ27001：2014）による規格で、情報資産を様々な脅威から守ることを目的とし、リスクを軽減させるための総合的な情報セキュリティ・マネジメントシステムのことを言います。2005年4月1日に「個人情報保護法」が施行されてから、個人情報等の機密情報漏えい問題などがメディアでも積極的に報じられるようになり、企業や団体だけではなく、個人個人が情報セキュリティーに対する関心が高くなったということもあり、規格取得を求める企業が非常に多くなりました。

また、最短で最適なPマーク取得をサポートを行う「プライバシーマーク取得支援サービス」を活用しての取得が活発になったこともあり、近年は益々増加傾向にあります。

ISMSを取得するとプライバシーマークが必要？

SMSを取得すると、必ずしもプライバシーマークの取得をしなければならないというわけではありません。どちらの規格を取得しても、きちんと定められたルールに従って運用していくことができれば、問題はありませんし、反対にどちらか一方を取得したからと言って、片方が不要になるというわけでもありません。それぞれに異なった目的を持っていますので、まずは企業や組織の現状の業務の実施状況から見て、大幅に手順の改定を行わずに運用することができる規格の取得に重点を置くべきでしょう。

もちろん、両方取得をすれば、企業のアピールとしては効果的ですが、同じセキュリティ系のマネジメントシステムですので、それぞれの規格の違いを理解したうえで、無駄のない情報セキュリティ対策を講じることが大切です。

どちらを優先的に取得すべきか分からないという場合には、「プライバシーマーク取得支援サービス」などを活用すれば、業種や規模に合致したルールや運用を的確に判断してもらうことができますので、合格までの道のりが非常に短くなり、企業の作業の負荷や設備投資を最小限に留めることができます。業務の効率化だけでなく、コストの削減を図ることが可能となりますので、そのようなサービスを活用するのも一案でしょう。現状の業務の実施状況などから、規格取得のために大幅な手順の改定を行うことは難しいなど、改定が可能な範囲などについても客観的な判断をしてもらうことができるため、ルール違反の温床や、作業ミスを生み出してしまうような危険を避けることができるというメリットもあります。

それぞれの規格では

それぞれの規格は、情報セキュリティを遵守するという大きな括りでは同じ意味をなしていますが、Pマークでは、規格が求めている対象が個人情報であり、企業内のすべての個人情報だけでなく、従業員の個人情報も含まれています。

また、求められることは個人情報の取得はもちろん、それらの利用や共同利用、委託や提供、安全管理、開示等要求対応、苦情対応など、個人情報保護法を包括する厳格な取り扱いなどが要求され、更新頻度は2年ごとになります。

対して、ISMSの対象は、適用範囲内のすべての情報資産で、ハードやソフトはもちろん、当然個人情報も含まれています。企業全体ではなく、主に事業所単位や、部門単位などの組織が対象となります。求められることは、主に取り扱っている情報がアクセスを認可された者だけが、アクセスすることができる「機密性」や、情報や情報の処理方法が正確かつ完全であることを保護する「完全性」、システムが継続して稼働できる能力「可用性」の維持や、情報資産の重要性、リスクに応じた適切な情報セキュリティが求められます。

ISMSの更新頻度は、毎年の継続審査と3年ごとの再認証の審査が必要となります。このように、それぞれの規格がそもそも求めていることや目的が異なるため、企業がとるべき対策や対応は大きく異なってくるのです。

Pマークでは、求められる文書や成果物には一定の決まりがありますので、それほど必要としていない文書であっても作成しなければならない場合がありますが、ISMSの場合には手順や決まりがないため、セキュリティレベルやルールの取り決めから始めなければなりません。反面、Pマークよりも企業に合った運用が可能であるとも言えるでしょう。

どちらを取得するべき？

情報セキュリティに関する規格を取得する際に、ＰマークとISMSのどちらを取得すべきかを悩まれる企業や組織は大変多く見られます。

そのような場合には、その企業や組織が、事業活動の中で主にどのような情報資産や個人情報を取り扱うことが多いのか、重点を置いて考えれば良いでしょう。

プライバシーマークとは、主に事業活動の中で個人に関する情報を多く取り扱っている場合におすすめです。

一方ISMSでは、適用範囲内の全ての情報資産全般が対象になりますので、個人情報は社内の情報程度ではあるものの、主に社外との機密情報や技術情報などを多く取り扱っているという場合に取得しておきたい規格です。

プライバシーマークの場合、「B to C/Business to Consumer 」が主体であり、ISMSの場合、「B to B/Business to Business」あるいは「B to G/Business to Government」が主体となっているということになります。これらを踏まえたうえで、本来取得しなければならい規格を選択することができますが、最も重要なことは、いま自身の企業や組織に求められているものは何かをよく考え、それぞれの規格の目的を認識してたうえで選択し、それぞれのルールや手順に従って、実行していくことが大切です。企業の状況によって、規格取得にかかる期間などは異なる場合がありますので、プライバシーマーク取得支援サービスなどを活用することで、さらにスムーズな取得が可能となります。

特に、どちらか一方の規格が社会的評価が低いとうことはなく、国際標準（ISO)になった事で、どちらの規格も今後、さらに評価が高まっていくでしょう。

一見、同じような規格にも思えるプライバシーマークとISMSですが、どちらの規格にもそれぞれ重要な役割があり、規格を取得することに向けての手順の見直しや準備の際には、法人単位であっても、組織単位であっても、それぞれが手元にある情報をどのように扱うのかについて、いま一度考え直すことができる良い機会を与えられるでしょう。従業員の個人情報なども、これまで以上に厳格に取り扱うようになり、個人個人の意識も大きく変わるはずです。どちらの規格においても、情報保護における法的な要求事項のほかに、契約に盛り込まれた要求事項は必ず遵守しなければなりません。

規格を取得することだけが目的では、意味がありません。最も重要なことは、規格を取得した後にも、安全対策や適切な個人情報の取り扱いなど、定められた対象への要求を遵守することがです。2～3年毎の定期的な更新やルール手順の見直しなどを怠ることなく、常に誠実な対応が求められます。情報セキュリティに対する意識の高さや品質を維持するためにも、今後は一層、プライバシーマークやISMSの取得が、企業や組織の信頼度を高めるための重要な規格となることは、間違いないでしょう。