ISMSがあればPマークはいらない?【Pマーク取得の基礎知識】
こんにちは!
UPFの小山です!
本日は、ISMSとPマークについて話したいと思います!!
ISMSとはどんな制度なのか?
ISMSとは保護すべき情報資産の安全性を承認する評価制度です。
ISMSは、範囲を決めることができます。
なので全社で取得する場合、情報資産の中に個人情報が含まれるので、Pマークも含んでるんじゃないの?と思われがちです。
しかし!
ISMSがあるのでPマークはいらないというわけではありません!
ISMSとPマークの共通点と違い
共通することは、外部の審査機関が審査を行うことによって客観的な基準で、それぞれ適合しているかどうかを判断する適合性評価です!
【では違いは何なのか??】
Pマークは個人情報が対象です。
なのでISMSの対象である全ての情報資産に含まれています。
しかし目的が以下のように違います!
●Pマークの場合
①顧客の個人情報を含め企業が保有する個人情報の保護
②提供した個人の権利を保護すること
●ISMSの場合
①情報資産全般を保護する仕組み作り
②対策を実施し、事業の継続、存続できる体制にすること
③仕組みつくりの過程で社内の情報セキュリティルールを策定
このように違います。
ISMSとPマークはどちらが必要か見極めることが重要
そのため、その過程での企業がやるべき対応はことなります。
また下記にまとめます!
●Pマークの場合
①自社にとって必要なくても作成しなければならない文書もあります。(規格上求められる文書、成果物には決まりがあるため)
②個人の権利を保護するため、個人から個人情報の開示、追加、訂正、削除の要求があった場合、手順が決まっている
●ISMSの場合
①決まった手順がなく、レベル、ルールは企業によって決められる
②上記を遵守するうえでの仕組み作りをするという運用
※Pマークよりは運用が企業にあった運用を行うことができます。
結局どちらを取得すべきなの?とお思いになるかと思いますが、どちらにしても、結局運用ができていなければ意味がありません。。。。
決めたルールを有効に運用していくことが大事です!!
まとめ
よく、どちらのほうが必要ですか?と質問を頂くことがあります。
私の考えではありますが、個人情報を取り扱うことが多く、個人情報をしっかりと管理していることをアピールしたいのであれば
Pマークの優先的なご取得をお勧めしています。
社内のセキュリティをしっかりしたい!社内に守るべき情報が多い!情報セキュリティのルールをしっかり決めたい!
などの思いがあるのであれば、ISMSの取得もよいかもしれません。
以上!
PマークとISMSの違いと必要性でした!
お役に立てれば幸いです!
★Pマークに関するこちらの記事もおすすめです!
→【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
