ISMSを取得するとPマークは不要になる？

私達のプライバシーは、個人情報として保護することが義務付けられているため、安心して日常生活を送ることが出来ています。ところが近年、IT化の急速な進展によって、不正アクセスやコンピュータウイルス、内部不正者などによって、私達の個人情報流出はもちろん、企業の資産情報漏えいなど、ありとあらゆる情報を脅かす問題が増加しています。

こうしたいつ起こるかも分からない問題に対し、よりセキュリティ面を強化するため企業などの組織では、「ISMS（ Information Security Management System ）」の構築・運用が必須条件となってきています。

また、個人情報の保護も重要であり、適切な保護対策を講じることができる体制を整えている事業者を認定する、「プライバシーマーク」の認定も必要とされています。

個人情報保護に関する対策をきちんと講じていることを主張することで、社会的信頼性を得ることができるため、事業者としてはメリットも大きいです。

ISMSとプライバシーマークはどちらもセキュリティに関する対策ですが、例えばISMSを取得すればプライバシーマークは不要になるのでしょうか？ここでは、この2つのセキュリティシステムについて、それぞれの役割の違いなどから検証していきます。

それぞれの役割の違いとは

ＩＳＭＳとは、「情報セキュリティマネジメントシステム」のことで、企業などの組織が様々な情報を適切に管理して、機密情報を保護するために作られた包括的なシステムで、情報セキュリティの安全性を認定する評価制度のことです。

このセキュリティシステムでは、コンピュータに関するセキュリティ対策だけではなく、セキュリティポリシー（情報を取り扱う際に基準となる基本方針）や、この方針に基づいた更に具体的な計画、計画の実施・運用、計画の見直しなど、一連のリスクマネジメントの流れをトータルに行っていきます。

プライバシーマーク（Ｐマーク）は、事業者が社員や顧客などの個人情報について適切に保護措置を行う体制が整っているかを認定する制度で、プライバシーマーク取得支援サービスなどを利用することで取得可能です。

ＩＳＭＳとＰマークは規格の対象が異なり、Ｐマークは個人情報が対象となるのに対し、ＩＳＭＳは全ての情報資産が対象となります。Ｐマークは、顧客を含めた事業者が保有している個人の情報や権利を保護することが目的であるのに対し、ＩＳＭＳはＰマークの対象となる情報の保護のほか、情報資産の全般を保護するシステムを構築させることが目的であり、その過程において企業内におけるセキュリティルールの策定・実施、事業継続、存続できる体制作りがメインとなっています。

セキュリティに関するシステムであってもその目的は違っているため、企業がすべき対策や措置も異なるのです。Ｐマークの場合は、日本工業規格に適合することが条件となるため、企画上で求められる文書や成果にも決まりがあります。そのため、その企業にとって不要な文書でも作成しなくてはなりません。

ＩＳＭＳの場合は、手順や形式に決まりが無いので、企業ごとにセキュリティレベルやルールを策定することができ、それに基づいて運用することになります。従って、Ｐマークよりも企業に合った運用が行えることになります。

結論「ISMSを取得したからといってPマークは不要にはならない」

この２つは目的は異なるものの、セキュリティ範囲においては、ＩＳＭＳはＰマークの情報範囲も網羅しているためＩＳＭＳだけを取得すれば良いように感じる方もいるのではないでしょうか？しかし、ＩＳＭＳを取得したからＰマークは不要であるというわけではありません。

ＩＳＭＳ・Ｐマークのどちらも外部の審査機関が審査を行うことで、第三者の客観的な認証基準でそれぞれの規格に適合しているかを判断しています。

どちらを取得すれば良いのか？ということがよく問題にあがりますが、そのような場合には企業活動の中で取り扱う情報資産や顧客などの個人情報において、どのような分野が多いのかをピックアップすることで、どちらを選択すれば良いかが導かれやすくなります。例えば、企業活動において取り扱う情報の中で、個人情報が一番多い場合にはＰマークの取得がおすすめです。逆に、個人情報よりも社外での技術に関する情報や、機密情報を多く取り扱っている場合にはＩＳＭＳを取得することをおすすめします。

どちらも認証取得がゴールではなく、それを運用・更新していく必要があります。Ｐマークは取得後２年毎の更新、ＩＳＭＳは毎年行われる継続審査と、３年毎の再認証審査があります。

まずは、企業にとってそれぞれの規格の特徴を十分に理解した上で、自社に本当に必要なマネジメントシステムはどちらであるかを分析することが大切であり、その分析結果をもとに最適な規格を決定していくようにします。そして、どちらの規格であっても、取得後は的確な運用が必要となるため、ＩＳＭＳ運用支援サービスやプライバシーマーク取得支援サービスなどを利用して、効果的な運用を行いましょう。

自社に必要な規格を理解しよう

自社に必要とされる規格を理解するためには、ＩＳＭＳとＰマークがそれぞれどこまでの情報の保護を含んでいるかを知ることがポイントとなります。

結論でも述べたように、Ｐマークは顧客の個人情報・企業が保有している個人情報の保護、提供した側の個人の権利保護などが目的であり、それに対してＩＳＭＳは、器偉業が保有する個人情報の保護、提供した側の個人権利の保護のほか、情報資産の全般を保護するマネジメントシステムを構築し運用することが目的となっています。

この２つの規格の概要とその目的を十分に理解してから、自社に最適な規格を決定していくと良いでしょう。

ＩＳＭＳ規格においては、「組織は、外部及び内部の課題を決定しなければならない」とされており、課題の決定とは組織の外部状況と内部状況を確定することを指します。

外部状況としては、政治・経済・文化・法律・市場の動きなど、外部における利害関係者などを指し、内部状況としては、組織の経営資源・文化、経営戦略、意思決定プロセスなどを指します。こうした要因の中から、自社にとって最も課題とすべきものを決定していくことになります。

課題の根本としては、リスクマネジメントプロセスを適用することにより、企業情報の機密性・完全性・可用性などを維持することができ、リスクを適切かつ確実に管理できるという信頼を、利害関係者に与えることです。つまり、「組織における目的や、機密性・完全性・可用性の３つの性質を維持するために必要なことは何か」を考えるべきだと言えます。

ＩＳＭＳでは、企業のセキュリティルールを策定するために、組織として利害関係者のニーズや構築することでどのようなことを要求しているか、何を期待しているのかを考える必要があります。

企業が発展していくためには、利益の追求は必要不可欠です。また、企業を次の世代にも存続させていくためには、利益の追求が目的かそうでないかに関わらず、利益を上げていくことが重要です。

企業が新しい事業などに取り組む際には、「それが企業としての利益につなげられる」が大きな判断ポイントでもあります。

その点において、Ｐマーク・ＩＳＭＳの認証取得は、必ずしも企業の大きな収益につながると言えないかもしれません。しかしながら、利害関係者や社会に対しての信頼性や安全性などを十分にアピールすることができると言えることから、少なくとも安定的な事業運営、収益の向上には貢献できると言えます。

企業というものは、時代の変化に対応していかなくては勝ち残っていくことはできません。そのため、常に新規開拓を追求しています。

新事業を始めるということは、そこには必ずリスクが伴います。リスクが存在すれば、事業を計画通りに行っていくことは難しくなります。そこで重要となるのは「その事業に関する的確なリスクマネジメントを構築すること」となります。

また、こうした機密情報・個人情報が第三者に漏えいさせないことも、企業の信頼へとつながっていきます。ＩＳＭＳ・Ｐマークはそれぞれが違った目的を持っているため、１つ取得すればもう１つは不要というものではありません。

自社の発展に大いに役立つ規格がどれかを理解し、決定することが大切です。