ISMSとPマークの運用方法

情報保護の第三者認証制度には、個別の問題ごとの技術対策のほかに、組織のマネジメントとして、リスクの特定やリスク分析、リスク評価を網羅するプロセス全体を自らのリスクアセスメントによって必要なセキュリティレベルを決定したうえで、計画的に資源を配分しながら、システム運用を行う「ISMS（情報セキュリティマネジメントシステム）」と、個人情報の保護の基準を定めたJIS規格である「JISQ15001：2006（個人情報保護に関するマネジメントシステム－要求事項）」に基づいて、個人情報保護マネジメントシステムを整備し、個人情報の取扱いを適切に行っている事業者に対して付与される「プライバシーマーク制度（Pマーク制度）」の二通りがあります。

いずれの制度も、個人を特定し識別できる手掛かりとなる情報である個人情報（住所、氏名、年齢、性別、生年月日、電話番号などの基本情報のほか、学歴や職歴、勤務先、結婚歴、クレジットカード番号、病歴、前科の有無など）も保護する対象となっていますが、このふたつの制度には、どのような違いがあるのでしょうか。また、どちらの制度を認定されている方が企業にとって有利になってくるのでしょうか。

更新日の違い

ISMS（情報セキュリティマネジメントシステム）もプライバシーマーク（Pマーク）にも言えることですが、これらの制度はマークを取得することだけが目的ではなく、マーク取得後には、厳しい一定の要求やルールに基づいて、日常的な運用を行い、その制度を上げていくことが目標となります。すなわち、いずれの制度もマーク取得はゴールではなくスタートラインとなるのです。

また、どちらの制度にも数年おきに更新がありますので、スタートラインに立った時点で、更新日に向けての準備が並行して行われることになります。

情報セキュリティマネジメントシステムの更新は、３年毎の更新審査と、半年～１年毎に１回の定期審査となっており、定期審査は一部の箇所、更新審査は全体をチェックする審査となっています。

それらにかかる費用は、維持審査料金として約48万円、更新審査料金は約65万円が目安となっています。

また、プライバシーマークの更新は、2年おきになっており、現場調査が主になります。かかる費用は事業所の規模によって異なり、小規模の場合は、申請料51,429円、審査料123,428円、付与登録料として51,429円の合計226,286円となります。

また、中規模の場合には、申請料51,429円、審査料308,572円、付与登録料として102,858円の合計で462,859円、大規模の場合には、申請料51,429円、審査料668,571円、付与登録料として205,715円の合計925,715円が必要となります。もちろん、いずれの制度も更新だけではなく新規申請にも費用が必要になります。

対象範囲と保護対象はどれぐらい変わる？

ISMS（情報セキュリティマネジメントシステム）の対象範囲は会社単位もしくは事業所単位、部門単位、事業単位になっており、保護対象は、個人情報はもちろんのこと、ハードウエア（PC・サーバ、ネットワークインフラ、記録媒体など）やソフトウエア（業務ソフトウェア、システムソフトウェア（OS)、開発用ツールなど）、適用範囲内の全ての情報資産全般が対象となっています。

もちろん、サービス資産としての空調、電源、照明、人的資産として資格、技能、ノウハウなども情報資産（Asset）であると考えるべきでしょう。一方、プライバシーマークの対象範囲は原則として会社単位のみになっており、保護対象は個人情報のみとなります。

そのため、自社で直接取得する個人情報は社員や従業員の個人情報程度のものであり、顧客や取引先、委託先、エンドユーザーなどの外部からの情報処理などで預かる個人情報が多い場合（B to Bが主体）には、情報セキュリティマネジメントシステムを優先的に取得するべきですし、自社で直接取得する顧客等の個人情報が多い場合（B to Cが主体）には、プライバシーマークを優先して取得するべきでしょう。

もちろん、両方を取得しても問題はありませんが、いずれの制度も運用や維持をしていくためには、それなりの徹底したルール作りや社員のモチベーションの維持が必要となります。会社の業務内容に合ったものを取得し、そのために構築されたルールの運用を徹底し、ブラッシュアップしていく方が現実的であると言えるでしょう。

自社に合わせて運用することが大切

ISMS（情報セキュリティマネジメントシステム）やプライバシーマーク（Pマーク）の取得をする場合には、会社で自力で取得をする場合と、「プライバシーマーク取得支援サービス」などを活用して、プロのコンサルタントにサポートしてもらいながら取得する場合の2通りがあります。

もちろん、自力で取得する場合は、大変な試行錯誤が必要となり、当初想定していた取得期限を過ぎてしまう可能性もありますが、決して無理な話ではありません。

担当者の方に経験がない場合には、書籍、セミナーなどで勉強しながら進めていくことも必要になってきますが、その経験は血となり肉となり、いずれは会社の大きな財産にもなるでしょう。

しかし、情報セキュリティとは、会社によって取り扱う情報の内容も異なれば、その対象や物量、運用ルールなどもさまざまですので、書店で取得活動のための実用書を購入して読んでみたところで、自社にぴったり合った運用方法などは記載されていないのが現状です。制度を審査する機関の要求は非常に細かくなりますので、会社の規模や従業員の数、オフィスのレイアウトや設備に至るまで、すべて会社に合わせた業務フローの徹底やルール作りが必要となります。

「プライバシーマーク取得支援サービス」などのコンサルタントを利用する場合には、独自で取得する場合とは異なり、会社が不得意とする分野に対しても、適切なアドバイスや改善策を提案することができます。

自社取得の場合には、どうしても得意とする分野不得意とする分野がありますので、対応に偏りが出てしまうのです。第三者からの客観的な視点というのは、セキュリティレベルを強化させるためにも不可欠となってくるでしょう。

さきに、お話ししたように、ISMS（情報セキュリティマネジメントシステム）、プライバシーマーク（Pマーク）のいずれもマークの取得が始まりであり、ゴールではありません。自社で取得されたものの、その後の運用が大変過ぎるあまりに、社員やマーク担当者が息切れをしてしまい、2年後の更新を辞退してしまったというような話は少なくありません。それでは、これまでに掛かった労力はもちろん、時間や費用などが水の泡となってしまいます。

また、取引先やユーザーからの信頼も失いかねません。なによりも、これまで日常の業務と並行してマークの取得や運用に携わってきた担当者や社員のモチベーションの低下にも繋がってしまう可能性があります。たとえ、一旦は自力で取得はしたものの、その後の運用が上手くいっていない、また、新たな保護対象ができたので、これまでの運用ルールの見直しや設備投資が必要になったなど、どのようなことでもコンサルタントであれば、あなたの会社に合った適切な解決策を見出してくれるでしょう。

もしも、現在、情報保護の担当者でありながら、その運用に行き詰まっているという場合には、ぜひ一度、プロのコンサルタントに相談をしてみましょう。高い知識を持ったコンサルタントを見つけることも、担当者のスキルのひとつなのです。