ISMSを取得するとPマークは不要になる?
私達のプライバシーは、個人情報として保護することが義務付けられているため、安心して日常生活を送ることが出来ています。ところが近年、IT化の急速な進展によって、不正アクセスやコンピュータウイルス、内部不正者などによって、私達の個人情報流出はもちろん、企業の資産情報漏えいなど、ありとあらゆる情報を脅かす問題が増加しています。
こうしたいつ起こるかも分からない問題に対し、よりセキュリティ面を強化するため企業などの組織では、「ISMS( Information Security Management System )」の構築・運用が必須条件となってきています。
また、個人情報の保護も重要であり、適切な保護対策を講じることができる体制を整えている事業者を認定する、「プライバシーマーク」の認定も必要とされています。
個人情報保護に関する対策をきちんと講じていることを主張することで、社会的信頼性を得ることができるため、事業者としてはメリットも大きいです。
ISMSとプライバシーマークはどちらもセキュリティに関する対策ですが、例えばISMSを取得すればプライバシーマークは不要になるのでしょうか?ここでは、この2つのセキュリティシステムについて、それぞれの役割の違いなどから検証していきます。
それぞれの役割の違いとは
ISMSとは、「情報セキュリティマネジメントシステム」のことで、企業などの組織が様々な情報を適切に管理して、機密情報を保護するために作られた包括的なシステムで、情報セキュリティの安全性を認定する評価制度のことです。
このセキュリティシステムでは、コンピュータに関するセキュリティ対策だけではなく、セキュリティポリシー(情報を取り扱う際に基準となる基本方針)や、この方針に基づいた更に具体的な計画、計画の実施・運用、計画の見直しなど、一連のリスクマネジメントの流れをトータルに行っていきます。
プライバシーマーク(Pマーク)は、事業者が社員や顧客などの個人情報について適切に保護措置を行う体制が整っているかを認定する制度で、プライバシーマーク取得支援サービスなどを利用することで取得可能です。
ISMSとPマークは規格の対象が異なり、Pマークは個人情報が対象となるのに対し、ISMSは全ての情報資産が対象となります。Pマークは、顧客を含めた事業者が保有している個人の情報や権利を保護することが目的であるのに対し、ISMSはPマークの対象となる情報の保護のほか、情報資産の全般を保護するシステムを構築させることが目的であり、その過程において企業内におけるセキュリティルールの策定・実施、事業継続、存続できる体制作りがメインとなっています。
セキュリティに関するシステムであってもその目的は違っているため、企業がすべき対策や措置も異なるのです。Pマークの場合は、日本工業規格に適合することが条件となるため、企画上で求められる文書や成果にも決まりがあります。そのため、その企業にとって不要な文書でも作成しなくてはなりません。
ISMSの場合は、手順や形式に決まりが無いので、企業ごとにセキュリティレベルやルールを策定することができ、それに基づいて運用することになります。従って、Pマークよりも企業に合った運用が行えることになります。
結論「ISMSを取得したからといってPマークは不要にはならない」
この2つは目的は異なるものの、セキュリティ範囲においては、ISMSはPマークの情報範囲も網羅しているためISMSだけを取得すれば良いように感じる方もいるのではないでしょうか?しかし、ISMSを取得したからPマークは不要であるというわけではありません。
ISMS・Pマークのどちらも外部の審査機関が審査を行うことで、第三者の客観的な認証基準でそれぞれの規格に適合しているかを判断しています。
どちらを取得すれば良いのか?ということがよく問題にあがりますが、そのような場合には企業活動の中で取り扱う情報資産や顧客などの個人情報において、どのような分野が多いのかをピックアップすることで、どちらを選択すれば良いかが導かれやすくなります。例えば、企業活動において取り扱う情報の中で、個人情報が一番多い場合にはPマークの取得がおすすめです。逆に、個人情報よりも社外での技術に関する情報や、機密情報を多く取り扱っている場合にはISMSを取得することをおすすめします。
どちらも認証取得がゴールではなく、それを運用・更新していく必要があります。Pマークは取得後2年毎の更新、ISMSは毎年行われる継続審査と、3年毎の再認証審査があります。
まずは、企業にとってそれぞれの規格の特徴を十分に理解した上で、自社に本当に必要なマネジメントシステムはどちらであるかを分析することが大切であり、その分析結果をもとに最適な規格を決定していくようにします。そして、どちらの規格であっても、取得後は的確な運用が必要となるため、ISMS運用支援サービスやプライバシーマーク取得支援サービスなどを利用して、効果的な運用を行いましょう。
自社に必要な規格を理解しよう
自社に必要とされる規格を理解するためには、ISMSとPマークがそれぞれどこまでの情報の保護を含んでいるかを知ることがポイントとなります。
結論でも述べたように、Pマークは顧客の個人情報・企業が保有している個人情報の保護、提供した側の個人の権利保護などが目的であり、それに対してISMSは、器偉業が保有する個人情報の保護、提供した側の個人権利の保護のほか、情報資産の全般を保護するマネジメントシステムを構築し運用することが目的となっています。
この2つの規格の概要とその目的を十分に理解してから、自社に最適な規格を決定していくと良いでしょう。
ISMS規格においては、「組織は、外部及び内部の課題を決定しなければならない」とされており、課題の決定とは組織の外部状況と内部状況を確定することを指します。
外部状況としては、政治・経済・文化・法律・市場の動きなど、外部における利害関係者などを指し、内部状況としては、組織の経営資源・文化、経営戦略、意思決定プロセスなどを指します。こうした要因の中から、自社にとって最も課題とすべきものを決定していくことになります。
課題の根本としては、リスクマネジメントプロセスを適用することにより、企業情報の機密性・完全性・可用性などを維持することができ、リスクを適切かつ確実に管理できるという信頼を、利害関係者に与えることです。つまり、「組織における目的や、機密性・完全性・可用性の3つの性質を維持するために必要なことは何か」を考えるべきだと言えます。
ISMSでは、企業のセキュリティルールを策定するために、組織として利害関係者のニーズや構築することでどのようなことを要求しているか、何を期待しているのかを考える必要があります。
企業が発展していくためには、利益の追求は必要不可欠です。また、企業を次の世代にも存続させていくためには、利益の追求が目的かそうでないかに関わらず、利益を上げていくことが重要です。
企業が新しい事業などに取り組む際には、「それが企業としての利益につなげられる」が大きな判断ポイントでもあります。
その点において、Pマーク・ISMSの認証取得は、必ずしも企業の大きな収益につながると言えないかもしれません。しかしながら、利害関係者や社会に対しての信頼性や安全性などを十分にアピールすることができると言えることから、少なくとも安定的な事業運営、収益の向上には貢献できると言えます。
企業というものは、時代の変化に対応していかなくては勝ち残っていくことはできません。そのため、常に新規開拓を追求しています。
新事業を始めるということは、そこには必ずリスクが伴います。リスクが存在すれば、事業を計画通りに行っていくことは難しくなります。そこで重要となるのは「その事業に関する的確なリスクマネジメントを構築すること」となります。
また、こうした機密情報・個人情報が第三者に漏えいさせないことも、企業の信頼へとつながっていきます。ISMS・Pマークはそれぞれが違った目的を持っているため、1つ取得すればもう1つは不要というものではありません。
自社の発展に大いに役立つ規格がどれかを理解し、決定することが大切です。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
7/23・24『第3回バックオフィスDXPO東京’24【夏】』に出展します
2024年7月23・24日、東京ビックサイト西1・2ホールにて開催の、 管理部門の業務効率化・DX推進のための展示会 第3回バックオフィスDXPO東京’24【夏】に出展します。 ご […]
BPO業者選びは情報セキュリティー対策の有無【Pマーク、ISMS】
最近、ビジネス・プロセス・アウトソーシング(BPO)がどんどん広まってきています。業務の一部を外部に任せることで、コストを削減したり効率化したりできるのは確かに魅力的です。 しかし […]
本日より仕事始めです。
皆さま、新年あけましておめでとうございます! 2024年1月4日、本日より弊社も仕事はじめとなります。 旧年中は大変お世話になりました。 本年もよろしくお願いします! […]
年末年始休暇のご案内
平素は格別のお引き立てをいただき厚くお礼申し上げます。 弊社では、誠に勝手ながら年末年始休業日を下記のとおりとさせていただきます。 【年末年始休業期間】 2023年12月28日(木 […]
TISAX認証取得の流れ ~準備から認証取得までを一気に解説~
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共 […]