プライバシーマークとISMSどちらが効力がある？

情報セキュリティに関する認証で、「Pマーク（プライバシーマーク）」と、「情報セキュリティマネジメントシステム（ ISMS）」のどちらを取得するべきか、悩まれる方は多いかと思います。

「Pマーク制度」とは、個人情報保護に関するコンプライアンスプログラムの要求事項である「JIS Q 15001」に適合しており、個人情報の取り扱いに対して適切な体制を整備している業者を認定する制度のことを指し、「情報セキュリティマネジメントシステム適合性評価制度」とは、企業などが情報を適切に管理して、機密を守るための包括的な枠組みのことを指します。

いずれの制度も、社内で取り扱っている情報を洗い出したうえで、リスクを想定しながら安全策を講じて実行するという根幹は共通していますが、「情報セキュリティマネジメントシステム （ISMS）」の場合は、顧客の保護については、あくまで自社を守るためのマネジメントフレームワークの延長線上にあると考えるべきです。

企業がどのような情報を取り扱っているかによって、取得が相応しい制度は異なりますので、効力が強いとか弱いという問題ではありません。

もしも、ご自身の企業が、どちらの取得が適しているのか分からないという場合には、「プライバシーマーク取得支援サービス」などのコンサルティングサービスに相談をしてみるのもおすすめです。

プライバシーマークを必要とする環境

「プライバシーマーク（Pマーク）」制度」とは、「個人情報の当事者のプライバシーを保護する」という考え方からなっており、個人情報などを含む、企業内のすべての個人情報が保護の対象となります。

個人情報の取得はもとより、利用や提供、委託、保管、廃棄、開示などのほか、苦情対応など、個人情報の取扱い全般に関するマネジメントシステムが、日本工業規格の「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」に適合していることを認証するものです。

個人情報の紛失や漏洩に対するセキュリティ対策なども、その一部として要求されていますので、「プライバシーマーク」を必要とする環境とは、おもに自社で直接取得をした顧客などの個人情報が多く、企業と個人間の商取引、あるいは、企業が個人向けに行う事業である「B to C」が主体となっている企業となります。

これらの企業における「Pマーク」を取得した際の効力は、おもに「取引先への信用の拡大」、「顧客への信用の拡大」、「社員の意識の向上」があげられます。近年は、コンピューターで取り扱う情報量も多くなったため、さまざまな形での個人情報保護の管理体制の確立が求められています。

Pマークを取得することで、取引先に対して個人情報保護の管理体制が整っている企業であることを示すことができますし、利用者や消費者に対しても目に見える形で安心感をアピールすることができるようになります。

そして何よりも、社員と一丸となって取得活動を行うことで、社内の情報セキュリティにおける意識の向上に繋がるため、情報漏洩によるリスクを軽減することができます。

ISMSを必要とする環境

「情報セキュリティマネジメントシステム（ ISMS）」とは、個人の情報はもちろん、ハードやソフトなどを含む適用範囲内の全ての情報資産全般が保護の対象となっています。

組織の情報資産の取り扱いにおいて、どのような脆弱性があり、どのような脅威を誘引するのかを認識してリスクを算出し、いかにそれらのリスクを軽減させるか対策を講じていくということが目的となっています。

「情報セキュリティマネジメントシステム適合性評価制度」を必要とする環境とは、主に自社で直接取得する個人情報については、社員や従業員の個人情報程度であるものの、外部からの情報処理などで預かっている個人情報が多い場合、つまり、企業間の商取引、または企業が企業向けに行う事業である「B to B」を主体としている企業となります。

情報資産の重要性やリスクに応じた適切な情報セキュリティ対策のほか、情報の機密性や完全性、可用性の維持などを目的としている制度ですので、残念ながら「認証されてしまえば、それでおしまい」というわけではありません。

情報資産の重要性やリスクに応じた適切な情報セキュリティ対策のほか、情報の機密性や完全性、可用性の維持などを目的としている制度ですので、残念ながら「認証されてしまえば、それでおしまい」というわけではありません。

また、制度が要求するセキュリティレベルを社内全体に根付かせることができなければ、本来の意味を失ってしまうことになるのです。

継続的な情報管理の取り組みによって、組織全体のセキュリティレベルの着実なステップアップを目標として運用していくことが大切になります。

流出を防ぐ事だけが目的ではない

「プライバシーマーク制度」と「情報セキュリティマネジメントシステム適合性評価制度」、いずれの制度にも言えることですが、マークを取得したらそれでゴールというわけではありません。

情報の流出を防ぐ事だけが目的ではなく、情報漏洩や情報セキュリティなどに関するトラブルを防ぐために、各企業ごとに適した「情報セキュリティシステム」を構築し、継続的に運用していくことが目的となっています。

情報漏洩を防ぐためには、情報を扱うための基本的なルールをあらためて確認のうえ計画し、実行、評価、改善などを一貫して行うことが大切です。

組織全体で、リスクマネジメントのシステム作りの見直しが必要となりますので、それなりの体制作りや知識が必要になってくるのも事実です。

また、個人情報保護法では、要求のなかに従業員に対する監督義務も含まれていますので、個人情報に対する社員の意識をより向上させるための研修なども必要となってきます。

企業内だけで、そのような研修プログラムを作り上げていくことが難しいという場合には、「プライバシーマーク取得支援サービス」などのコンサルティングサービスなどを利用すると、スムーズに適した環境を構築することができます。

いずれも、取得後には定期的な更新が必要となる制度ですので、自社だけでの対応では、スムーズなPDCA（Plan－計画、Do－実施、Check－点検、Act－処置）サイクルを構築することができず、リスクは軽減されないままで、経営そのものを左右する事故に繋がってしまう可能性もあります。

担当者の本来の業務に支障をきたさず、スムーズな運用を長期的に継続していくことが最大の目的です。

情報セキュリティに関する認証制度には、さまざまな知識やスキルが必要となってきますので、もしも、担当者に選任された場合には、まず、取得に専念できるだけの環境作りや情報収集が重要となってきます。

もしも、どこから手を付けたら良いのか分からないという場合には、「プライバシーマーク取得支援サービス」などのコンサルティングサービスを利用することを考えてみてはいかがでしょうか。

ご自身の企業の業種や規模、取り扱っている情報に合致したルールや運用を目指すことができますので、それぞれの制度の効力を最大限に発揮することが可能となります。

また、取得活動や取得後の作業の負荷を軽減したり、設備投資を最小限にとどめることができるうえに、最短でスムーズな取得が可能となりますので、結果的にはコストの削減にも繋がります。

これから取得される場合にはもちろん、すでに取得されている企業でも、事業の規模や業種にそぐわない程やルールに雁字搦めにされて、運用事態が疎かになっている可能性も否めません。

もしも、「現状のルールに疑問を感じている」、「運用に行き詰まっている」という場合には、一度、プロから客観的な意見を参考にされてみてはいかがでしょうか。