情報資産の中で個人情報を取り扱う割合が多い会社はISMSよりPマーク
現代社会で情報資産がない企業はほとんどないはずです。
顧客情報や製品のデータ、アンケートの結果、売り上げなどの集計結果、機密情報などが組織全体で利用されています。
それらの管理が適切でなく漏えいした場合、その被害は甚大なものになります。
情報漏洩によって競合他社に有利な状態になる恐れもあります。
そのような情報資産全般のセキュリティーはISMSへの適合性によって証明することができます。
そのほかに個人の情婦に特化したセキュリティーのみを検討している企業もあります。
その場合はPマークの取得が有効です。
どちらも情報に関するマネジメントシステムの構築が要求事項になっています。
その適用範囲でISMSの方が広いことになります。
そのため、認証の取得は組織内の多くの部署が対象となり、管理も多くの種類が対象となります。
限定された方が限られた部署で対応することができるため容易です。
どちらに適合するか検討しているのであれば、扱う情報の種類を確認すべきです。
もし個人情報を扱う割合が多いようであればPマークを取得した方が労力を無駄にする必要がありません。
またプライバシーマーク制度の方が浸透しているため、世間的な印象も良くなります。
企業間での契約が多く、業務委託などで情報セキュリティーについて信頼を得る必要があるようならISMSの方が有効です。
まずは自社の対象がどちらが多いかを情報管理の視点から分析することから始める必要があります。
ISMSは全般の情報セキュリティ管理
情報資産を適切に管理する能力を有していることを利害関係者に示したい企業はISMSが有効です。
ISMSは、国政規格であるISO27001で規定する要求事項、日本ではJIS Q 27000に適合していることを第三者によって確認された場合に認証されます。
企業が有している情報資産を適切に管理する組織を構築し、有効性を維持し、継続的な改善を進める活動を行います。
そのためにトップマネジメントによるトップダウンの管理を行います。
脅威となるものを明確にしてコントロールするリスクマネジメントを行い受容可能なレベルまで低減することが重要です。
マネジメントシステムであるため計画、実行、分析、改善のPDCAサイクルを回すプロセスを適用します。
この規格の認証を取得することで、その企業が情報セキュリティに対して一定のレベルに達していることがわかります。
それにより情報を扱う業務を委託しても安心であるということになります。
国際規格であることから国外の企業に対しても情報セキュリティに対する信頼性を得ることができます。
ISMSで適用となる情報は資産として扱うものになりまます。
Pマークの適用よりも大きな範囲を包括して取り扱います。
そのため個人情報だけを管理しているだけでは認証を取得することはできません。
企業内で扱う情報のうち資産となるようなものは全般的に対象となります。
ISMSの方が広い範囲の情報を扱うことになります。
Pマークの方が限定した範囲で取得できる
Pマークはプライバシーマーク制度によって付与される標章です。
プライバシーマークは、情報資産のうち個人情報に特化した情報セキュリティーのための要求事項です。
国内規格であるJIS Q 15001 個人情報マネジメントシステムの要求事項への適合性を第三者に審査されて認証されます。
認証は3年位1回更新する必要があります。
この制度の主な目的は保護と運用の一定の水準を作るためのものです。
規格に適合すると取得企業の組織が構築したシステムが一定の水準を超えていることを利害関係者に示すことができます。
審査の時には、マネジメントシステムを枠組みとして規格や法令、ガイドライン、条例などの関連する要求事項を満たしていることを確認されます。
法令だけの規制よりも広い範囲を対象としてるのでより厳しい内容と言われています。
最近では入札にも必要となることがあるため多くの企業が認証の取得を目指しています。
基本的には、この制度を適用しない場合でも遵守しなければならないことばかりです。
それを第三者の目で確認されることで認証されます。
認証された企業は、ホームページや、名刺、会社案内などにマークを表示することができます。
このマークがあることが顧客が企業を選定する際の判断材料の一つとして扱われます。
この規格もマネジメントシステムを規定したものです。
PDCAサイクルを回して、プロセスの有効性を維持して、継続的な改善を必要とします。
同じマネジメントシステムとしての比較
ISMSもプライバシーマーク制度も情報に関するマネジメントシステムへの適合性の確認を行うものです。
目的もある程度のレベルで情報セキュリティーを運用管理することとそれを対外的に示すことになります。
情報は目に見えないため品質を問うことは難しい性質のものです。
そのため不適切な扱いは、漏えいにつながり企業イメージを悪くします。
そのような状況にならないようにマネジメントシステムを構築します。
ISMSはすべての情報が管理対象となるため、かなり広い範囲で組織の活動を監視測定する必要があります。
プライバシーマーク制度は、ISMSと比べて対象情報が限られているため、認証の取得がある程度容易になることと担当部署のみで運用することが可能です。
また、リスクマネジメントが直接的な要求事項にはなっていないので、リスクのコントロールに関するプロセスの構築をする必要がありません。
これらの点から、必要に応じてどちらの要求事項に適合すべきか検討します。
もし何かの取引条件や規制への対応、入札の要件など限定された目的取得するようであれば限定された条件の方が認証の取得が容易です。
できる限りコンパクトな取得を目指すのであれば、扱う部署を限定してその中だけで運用するようにシステムを構築すると無駄な管理を行う必要がなくなります。
一般消費者向けにのみ情報を扱うようであれば、Pマークの表示で十分セキュリティーの信頼性を得ることができます。
プライバシーマークの取得のためには、規格で規定する要求事項を満たす必要があります。
要求事項は品質マネジメントシステムの国際規格であるISO9001と同じようなものになっています。
だから、ISO9001の認証を取得しているのであれば、少しシステムを変えるだけで認証を取得することができます。
それに加えて個人情報保護法の要求事項を上乗せする必要があります。
法規制の対応が不安な企業の方も多いと思います。
システムの構築に不安があるようであればプライバシーマーク取得支援サービスを利用すると安心です。
審査に合格するためには知識が必要です。
規格は最低限の要求事項を規定しているため、解釈をしっかりしておかないと実務からかけ離れた運用が難しいシステムが構築されます。
そのように厳しいシステムを構築すると維持管理が大変です。
プライバシーマーク制度は3年位一度の更新が必要です。
つまり、有効性を維持して、継続的な改善を確認されます。
厳しいシステムを構築してしまうと企業の本来の業務が運用されず、例外措置ばかりが増えることになります。
プライバシーマーク取得支援サービスを利用すれば、実務に即したシステムの構築が可能です。
つまり適用後も無理なく運用することができます。
それは時間とコストに影響するところなので真剣に検討する必要があります。
例えば、審査で指摘されたことについても相談することができます。
活用することで認証の取得を断念するような事態にはなりません。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
7/23・24『第3回バックオフィスDXPO東京’24【夏】』に出展します
2024年7月23・24日、東京ビックサイト西1・2ホールにて開催の、 管理部門の業務効率化・DX推進のための展示会 第3回バックオフィスDXPO東京’24【夏】に出展します。 ご […]
BPO業者選びは情報セキュリティー対策の有無【Pマーク、ISMS】
最近、ビジネス・プロセス・アウトソーシング(BPO)がどんどん広まってきています。業務の一部を外部に任せることで、コストを削減したり効率化したりできるのは確かに魅力的です。 しかし […]
本日より仕事始めです。
皆さま、新年あけましておめでとうございます! 2024年1月4日、本日より弊社も仕事はじめとなります。 旧年中は大変お世話になりました。 本年もよろしくお願いします! […]
年末年始休暇のご案内
平素は格別のお引き立てをいただき厚くお礼申し上げます。 弊社では、誠に勝手ながら年末年始休業日を下記のとおりとさせていただきます。 【年末年始休業期間】 2023年12月28日(木 […]
TISAX認証取得の流れ ~準備から認証取得までを一気に解説~
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共 […]