ISMSを取得すればPマークは必要ないの？

今日ではインターネットと物流の発達により、消費者の購買活動は10年前とは大きく変化しました。

私たちはパソコンであるいはスマートフォンでウェブ検索をし、商品やサービスを比較検討して、可能であればより安価に購入することができます。そして販売者が地理的に遠い業者だとしても、宅配便などで大抵は翌日に、早ければ当日の夜に商品やサービスを受け取ることができます。

販売者は全国からたくさんの顧客を得て、顧客情報をはじめとする個人情報は主にコンピュータによって電子データの形で管理するのが普通です。

膨大な件数を適切に管理するのはそれが合理的な方法ですが、一方でシステムが虚弱だったり取り扱いのモラルや教育水準が低い場合、あるいは悪意ある第三者の不正アクセスによって、こうした機密情報があっけなく漏洩してしまうという事故が起こるようになりました。

この問題は先進国では普遍的な問題であり、徐々に法整備が進められてきています。そして販売者もこれに対応する形で、PマークやISMSの認証を受け、顧客からの信頼獲得に努めています。

これらの認証の特徴は、販売者（以下「企業」とします）が機密情報を適切に管理しているということを、販売者と利害の一致をみない第三者が監査を行なって、その妥当性および客観的正しさを判定するというところにあります。

今や販売者にとってはあくことのできない認証になっていますが、本稿ではPマークとISMSの違いに触れながら、その取り組みがどのように行なわれるかについて記述します。

PマークやISMSはなぜ必要なのか

新聞やテレビのニュース番組を見ていれば、残念なことに1週間に1回ほどは企業が顧客情報を漏洩させてしまった、という報道に接します。

こうした機密情報がいったん漏洩してしまうと、それを回収することは不可能です。データの重要性が高ければ高いほど、機密性が高ければ高いほど、それらが悪用されるリスクが高くなるのです。

こうしたデータには、消費者の氏名にリンクして性別・年齢・住所・電話番号・電子メールアドレス・購買履歴などのもろもろが付随しています。

特にリスト化されたデータは、濃密な見込客のリストとも言え、様々な方面から所望されているため、アンダーグラウンドの業者の好餌となります。

むしろ台帳で管理され、金庫に保管されていればこうしたトラブルに会う可能性はありませんが、今日ではこうした管理方法は幾重にも不合理であり、だからこそ電子データとして保存されています。

情報はしまっておくためのものではなく、活用されるためのものだからです。

こうした背景から個人情報などの機密情報は厳格なルールによって守られ運用されるべきものです。つまり機密性・完全性・可用性が実現されていなければなりません。

しかし今日の常識に照らせば、企業が業界ルールや自主ルールによって「注意しています」「気をつけています」と宣言するだけでは、誰も信用しません。

むしろ第三者機関による、客観的に見て正しく運用されている、というお墨付きが必要とされているのです。

PマークとISMSはどう違うのか

これらの認証は、ともに個人情報保護を目的とした規格に準拠して、当該企業とは無関係の第三者によって機密情報を適切に取り扱っているかどうかの評価を受けるという点で、基本的に同じものであるということができます。両者の違いとは、よりどころとする規格の違いにすぎません。

前者は日本工業規格であるJISQ15001が定める個人情報保護マネジメントの要求事項に適っているかどうかが審査されるものです。そして後者は、国際規格であるISO27001が定める情報セキュリティマネジメントシステムの要求事項に適っているかどうかが審査されるものです。

両者とも消費者の個人情報を保護するという目的から成り立っていますので、その内容について大きな差はありません。

したがってその両方を取得するという必要性は薄く、どちらか一方の認証取得を済ませれば十分であると考えられます。もしどちらを取得するべきなのかの判断が必要であれば、自社が顧客から直接個人情報をあずかって管理することが多い場合、すなわちB to Cタイプの企業であれば前者を、また別の企業などから情報処理等の事業を行うために個人情報をあずかって管理することが多い場合、すなわちB to Bタイプの企業であれば後者を選択するのが良いと一般的には考えられています。

いずれも情報保護のためにその取り扱いについて厳格な管理体制を求めている点において、特別な違いはありません。

PマークやISMSの認証取得を果たすには

こうした取り組みについて、それ自体が利益を生むものではない、と考えている事業者は、実はまだ多く存在しています。しかしこれまでの説明から、こうした考えがナンセンスであることは容易に理解されることでしょう。

消費者からの信頼を失えば、企業はビジネスのチャンスを失います。存続の危機さえたぐり寄せてしまうことになるでしょう。

したがってこうした認識はまさに逆で、顧客の信頼を得てビジネスを拡大し、その結果利益を上げて企業が存続するためには、まさしくこうした取り組みこそ必須であり、なによりも優先順位を上げて取り組むべき課題であるのは当然です。

一般的に企業では、認証取得を果たすためにプロジェクトチームを組織するのが普通です。企業のトップは推進責任者を任命して全権を委任し、この責任者を中心にメンバーが集められ、取り組みを開始します。メンバーは規格の要求事項について書籍やセミナーなどから学び、現行の管理体制との乖離を正しく認識します。

そして必要に応じてルールを設定し、社内教育を行なってそれを周知させます。ルールは常に全方位的な視点から見直され、改訂し、問題の発生など新たな脅威に備えます。

そしてPDCAと呼ばれるプログラムを回し続け、常により良い管理体制を構築するための試みを体質化するところまで昇華します。この次元に達した段階で、その取り組みが客観的に正しいと評価され、認証取得を果たすことができます。

大企業などでは、こうした業務を専門に行なう部署を設けているところもあります。その部署には認証のための監査を行うことができる有資格者すら存在しているケースがあります。

またそこまでの専業性はなくとも、品質管理マネジメントのISO9001や環境マネジメントのISO14001の業務と並行して行なうこともあります。中小企業の場合の弱みは、こうした専門部署を設けるだけの余裕がないことでしょう。

しかし情報保護マネジメントの構築は、むしろ中小企業にこそ急務の課題です。こうしたケースで活用されるのが、プライバシーマーク取得支援サービスなどを業務とする専門家によるコンサルティング会社です。

こうしたコンサルティング会社と契約を結ぶことにより、企業は取り組みの開始から認証取得までサポートを受けることができます。

プライバシーマーク取得支援サービスの提供者は、認証取得本番の監査の実情について詳しいのは当然としても、これまで情報管理マネジメントに関しては白紙の状態であった企業が、取り組みを開始し、プロジェクトチームを編成し、要求事項と社内の実態の乖離を埋め、ルールを文書化して社内教育をはかり、PDCAプログラムを運営するための助言を受けることができます。

一通りのシステム作りが完了したら、本番の監査に先んじて予備審査を実施してもらうことができます。もちろんこうしたサービスを利用せずに認証取得を果たせばそれに越したことはありませんが、何よりの近道であると言えます。