プライバシーマークとISMSを取得にかかる費用面から比較
昨今企業の情情報漏えい事件がマスメディアにおいて報道されることも多くなってきており、企業が情報セキュリティに関する認証をもつことは、顧客に対して信用を得るためには必要不可欠なことになってきたといえるでしょう。主な認証としてプライバシーマークとISMSがあることは広く知られていることですが、企業の経営者の立場からすると、どちらの認証を得るのか適切かの判断はなかなか難しいものがあります。
両者の比較において、審査機関や審査の基準からくる目的の違いがまず重要でしょう。
前者は企業全体に適応され、個人情報の保護に重点が置かれています。後者は、事業所や部署毎に適応され、企業の事業の上で重要な情報資産の保護に重点が置かれてます。
また一般的な消費者の知名度はプライバシーマークのほうが高いこともあり、BtoCがメインの会社はこちらのほうを取るのが一般的です。逆に取引先が法人や企業が多いならば、ISMSを取ったほうがよい印象をあたえることができます。またこちらは国際規格なので国外の企業が取引相手になる場合でも有利になる可能性があります。
目的とは別に費用面が気になるところです。前者は審査機関がひとつしかないので、会社の規模によってほぼ値段は決定してしまいます。それとは逆に後者は審査機関を選択できるので選び方次第で値段が変動します。ただし大体の相場においては後者のほうがお金がかかることが多いといわれています。
プライバシーマークの取得にかかる費用
この制度は一般財団法人日本情報経済社会推進協会(JIPDEC)が認定する、個人情報を取り扱うことができる事業者を認定する制度であり、認定されると特定のマークをつけることができます。
具体的な費用は、事業者の規模によって変わりますが。申請費は一律51429円で、こちらは事業規模によって変化はしません。それとは別に、審査費と付与登録料は事業規模に基づいて変化しますのできちん知っておく必要があるでしょう。申請料込で小規模だと30万円、中規模だと61万円、大規模だと123万円ほどの予算が必要です。
事業規模は、製造業だと小規模が2人から20人まで、中規模が300人まで、大規模が301人以上です。ほかの卸売業、小売業、サービス業だと小規模が2人から5人まで、中規模が100人まで、大規模が101人以上です。自身の業種と規模からどの程度の予算を用意すればよいのか知ることができます。
また、一度認定を得たからといって恒久的にそれが続くわけでは当然ありません。この制度においては、2年毎に更新を必要としています。更新料も新規に認定をしてもらうときと同様、事業規模によって値段が変化します。小規模が22万円、中規模が46万円、大規模が92万円ほどかかります。
このような認定制度で信用を得るためには、認定を維持し続けることが大切です。単純に認定にかかる値段だけではなく、更新料も考えて予算を考える必要があるといえるでしょう。
ISMSの取得の場合
こちらは認定する規格はあれど、認定する機関を選ぶことができるので費用は変動します。きちんと認定する機関を選定すれば安くとはいっても、プライバシーマークの中小の基準で100万円程度かかる場合が多いので、基本的に値段は高くなることが多いと考えられています。
更新の頻度は3年と、2年に比べて1年長いので、更新料は安くなりそうだと考える人もいます。しかし、毎年審査が必要であり、その審査にはお金がかかります。そのため、更新頻度が3年だからといって、更新料が2年と比較して安くなるわけではなく、基本的には高くなります。
こうして比較すると、より多くのお金がかかってしまうと思われますが、適応範囲の違いに注目する必要があります。あちらの制度が企業全体に適応されるのに対して、こちらは事業所や組織単位で認定をうけることができます。そのため、大規模扱いの企業の一部門などが情報セキュリティに関する認証を受けたい場合は、安くなる可能性も十分にあります。
またすでに、プライバシーマークの認定をうけている企業でも、それだけでは対応できないシーンがでてきた場合に、追加でISMSの認定をうける事例があります。この時には、会社すべてに適応しなくてよいので必要な事業所だけに認定をもらえばよいので予算は少なくすみます。このように二つの制度の認定をもらう場合において、適応範囲を指定できるのが優れているところとだといえるでしょう。
プライバシーマーク取得支援サービスの費用
認定を受けるためには、申請や審査、更新料とは別に様々なお金がかかることは知っておきましょう。
両制度共に、認定されるための基準があり、審査する機関があります。既に述べた通り、一度認定されるだけではなく更新の必要もあります。認定にせよ更新にせよ、ただ普通にしているだけで通るものではありません、基準をクリアするように認定をうける企業が各自努力をする必要があります。
その為、制度の認定をうけるためにかかるお金は、申請料や審査料だけを額面通りに用意するだけは足りません。その審査基準をクリアするためにする行動にかかるお金も考えるないといけません。
もっとも具体的なものは、根本的なセキュリティ強化のための機材や人員の強化をする必要があり、その為の設備費と人件費があげられます。設備や人が既に社内にあるものを利用して、認定の基準をクリアできるものだとしても、基準をクリアするためは再び学び直すための教育費がかかる場合もあります。
また、情報セキュリティを業務としておこなってている会社なら別ですが、殆どの会社は認定とは違う業務をおこなっています。それゆえ、認定基準をクリアするための努力をするにしても、それを独自でおこなうのは限界があります。
そういった場合には、プライバシーマーク取得支援サービスや、各種コンサルティングの力を借りることになることになるので、そういったサービスを受けるために予算が必要なことも覚えておく必要があります。
現代は、情報漏えいの危険性が叫ばれるようになってきて、企業だけではなく一般市民も情報セキュリティに対する意識が強い時代にだといえるでしょう。そうした意識の芽生えは、比較的近年におきたものです。そのため、プライバシーマークもISMSも全方位に万全といえたものはではないかもしれません。
しかし、両制度共に企業と取引先の信頼を築く上においては、非常に役に立つものであり、他の有効的な方法が存在しているわけではありませんので、必要不可欠なものになっていくと考えられます。それは両制度共に、認定者数が急増していることからも明らかだといえるでしょう。
認定をうける際においては、自分達の経営する企業にとってどのような制度が適切なのか、しっかり知る必要があります。そのための方法として、両制度が対象としているものや目的をはっきりさせることから始まり、それにかかる予算まで含めて理解することです。理解したうえで、両制度どちらが自分達の企業にふさわしいか正しい選択をするようにしましょう。
また、どんな制度も適切に運用してこそのその真価を発揮するといえるます。その為、ただ認定をうけるだけで終わりにするのではなく、認定の維持の為に必要な更新料についてもきちんと知る必要があります。信頼をつくる制度というものは持続してこそのものです。更新料などの維持することも視野にいれて、きちんとマッチする制度を選択しなくてはなりません。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
7/23・24『第3回バックオフィスDXPO東京’24【夏】』に出展します
2024年7月23・24日、東京ビックサイト西1・2ホールにて開催の、 管理部門の業務効率化・DX推進のための展示会 第3回バックオフィスDXPO東京’24【夏】に出展します。 ご […]
BPO業者選びは情報セキュリティー対策の有無【Pマーク、ISMS】
最近、ビジネス・プロセス・アウトソーシング(BPO)がどんどん広まってきています。業務の一部を外部に任せることで、コストを削減したり効率化したりできるのは確かに魅力的です。 しかし […]
本日より仕事始めです。
皆さま、新年あけましておめでとうございます! 2024年1月4日、本日より弊社も仕事はじめとなります。 旧年中は大変お世話になりました。 本年もよろしくお願いします! […]
年末年始休暇のご案内
平素は格別のお引き立てをいただき厚くお礼申し上げます。 弊社では、誠に勝手ながら年末年始休業日を下記のとおりとさせていただきます。 【年末年始休業期間】 2023年12月28日(木 […]
TISAX認証取得の流れ ~準備から認証取得までを一気に解説~
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共 […]