fbpx

情報セキュリティにまつわる
お役立ち情報を発信

BtoCのサービスを行っている会社の場合、ISMSとPマークどちらを優先すべき?


BtoCのサービスを行っている会社は、インターネットを利用した電子商取引を行っている会社です。
消費者を相手としているという観点から見た場合、個人情報の保護に関する法律の適用を意識すべき取引を扱っています。

個人情報がネットワーク上でやり取りされコンピューターで大量に処理されている状況では、個人情報の保護が、強く求められる企業です。Pマークとは、プライバシーマーク制度のことを指します。

日本工業規格に適合して、個人情報について適切な保護措置を講じている事業者等を認定して、プライバシーマークを与えて、事業活動に関してプライバシーマークの使用を認める制度です。

一方、ISMSは、情報セキュリティにしっかり取り組んでいることを証明する制度です。一般に、Pマークが事業所内に定着してからステップアップしてISMSの認定をめざすというのが、二つの認証をスムーズに対応していくためのやり方といえます。

二つの制度は重複した部分を多く含んでおり組織内でうまく対応していくことを考えた場合に、まずPマークの取得を優先して、プライバシーマークを活かしながら更新していくことを優先して、プライバシーマーク取得支援サービスの力を借りたりして、個人情報の保護に重点を置くことを事業者は考えるべきです。

取り組むうちに、社内の個人情報保護に対する意識が高まり、自分たちだけで運用できるまでに高めていくことを優先すべきです。もう一つの制度は、それからチャレンジするほうが入りやすいのではないかと考えられます。

Pマークの制度について

pマーク(プライバシーマーク)の認定制度は、事業者が個人情報の取扱いを適切に扱うだけのレベルに達していることを認定する制度であります。

その証としてプライバシーマークを使用していいですよと事業所内及び対外的頒布物に掲載することを認めています。
その目的としては次のような点があります。
・消費者の目に見えるプライバシーマークを対外的に示すことによって、個人情報の保護に関する消費者の意識を向上させること
・適切な個人情報の取り扱いを推進することによって、消費者の個人情報に保護意識を高めていくことによって、社会的な信用につながっていくことになります。

事業者はプライバシーマークを取得するインセンティブがいかに事業に役立つかを意識するようになります
プライバシーマーク取得支援サービスが、サポートが事業所においては重要な働きをします。基礎段階から更新にいたるまでサポートの手厚さが重要です。

従業員は、常にPマークのことばかりを考えてはいられません。そこで、サポートしてくれる人の支援プログラムの作成、プロセスの実施に対するサポート、実施がうまくいっているかのチェック、もとの状態に戻ってしまわないための定着化及び反省事項をまとめていく作業を、プライバシーマーク取得支援サービスのスタッフと継続していきます。

プライバシーマークも常に状態を管理していかないと陳腐化します。更新作業も重要な作業となります。

事業者にとっての認定制度のメリットは

ISMSとは、情報セキュリティーの保護に事業所が、しっかり取り組んでいるかどうかを証明するためにある制度です。プライバシーマークとよく似た制度です。

第三者の認定制度としての役割をもたしていることは事業者にも受け入れやすくなっています。事業者がセキュリティーに対しての取り組みを第三者が評価できるようにすることで一種の格付けの役割を果たしています。

BtoCのサービスを行っている会社は、まずPマークを取得して消費者に個人情報の取扱いに事業所全体で取り組んでいます。そのためにPマークを取得していますよということを、広くインターネットを通じて消費者にアピールし続けていくことが大切です。

自社の強みを説明するうえで、Pマークの取得は、情報の管理に不安を抱いている消費者を安心させます。BtoCを業務内容とする限り、個人情報を重視することは最も関心を払うべき事項です。

事業者と消費者が対等の関係で取引するためには、まずお互いが信頼できる存在であることが必要です。

Pマークを取得していますよというアピールは、事業を運営する姿勢をみるポイントになります。

Pマークを与えられている会社なら個人情報の管理は間違いないだろうという推定をうけることができます。評価を受けることで次のステップにすすむことができます。

次のステップとして情報セキュリティの分野にも配慮してインターネットでの業務を進めるための制度の認定を受ければ完璧になります。

Pマークの制度とISMSの制度の関係性

プライバシーマーク制度の認定をうけること及びその更新をめざしていくことは事業の目的をはっきりさせることになります。組織内では、定期的にPDCAサイクルをまわしていく必要があります。
Pは計画です。プランをたてるのです。DはDO 実行です。CはCeck チェックです。A  アクト実行です。この4段階を繰り返すことで、事業を継続的に改善していくことを目指します。
これは情報セキュリティーの保護をはかるうえでもとりいれていかなければならない考え方です。
情報セキュリティで守るべきは、気密性・安全性・可用性の3つの要素をバランスよく維持して、改善していく必要があります。そのためにPDCAのサイクルが使われます。
・気密性とは、アクセスを認可された者だけがアクセスできることを確実にすることです
・完全性とは、情報及び処理方法が、正確であること及び完全であることを保護することです
・可用性とは、認可された利用者が、必要な時に、情報及び関連する資産にアクセスするできることを確実にすることです。
これらを可能にするためには、従来の実績や将来の予測をもとに計画を立て、計画に沿って業務を行う。業務の実施が計画に沿ったものであるかを評価する。

実施が計画に沿っていない部分を取り出して改善する。このサイクルを何度も繰り返すことで仕事の定着性が増していきます。認定されて権威づけをされている制度の中身をより高めていくことができます。

Pマーク及びISMSの認定をうければ、会社にとってその姿勢を示す格好の材料になります。認定を受けることが、事業所の取り組み姿勢をしめす重要なアイテムとして使用できます。但し、そのままでは事業所の中の組織がうまく取り入れることにはなりません。

普段の見直しや改善が必要になります。仕事の修業は、作成する、出題する、解答する、開設する、分析することです。PDCAのシステムと同じようにこの流れを繰り返すことによって学習効果を高めていくことができます。ただ見ているだけ、読むだけの学習では退屈で苦痛です。

そのようなシステムのサポートができるのが支援サービスの役割です。事業者が、前向きに取り組むことはもちろんのことですが、実際の実務をこなしている従業員の意識が向上することがPマークの認定のような制度をすすめるうえで最も重要なポイントとなります。

認定を受けているという事実に重きを置くのではなく、継続して普段の業務に取り入れていますと胸をはって言える環境を作ることが大切です。

常に、システムの見直しを怠ることなく、改善点を見つけて新たなステップに進むことです。消費者を相手にするBtoCを取り扱う会社にはまず認定をめざして権威づけをめざすことが重要です。

その認定を受けた後は、改善・チェックを怠らないで次のステップをめざすことが大切です。

そういうステップがとられていること、その姿勢が社会にうけいれられます。組織全体のレベルアップにつながります。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る