プライバシーマークとISMSの決定的な違い

2005年（平成17年）4月1日に全面的に施行された「個人情報保護法」以降、個人情報の保護に対する関心はさらに高まり、個人情報漏えいなどの事故は、連日、新聞やメディアなどで大々的に報じられています。

個人情報の取り扱いを外部の業者などに委託する際には、委託先に対して適切な個人情報保護対策を要求するということが当たり前となっている近年、

個人情報の不適切な管理やヒューマンエラーは、企業の信用を著しく低下させたり、企業間での取引きが中止される原因となったり、新規の事業への機会を損失させ、莫大な損害賠償請求を受けるなど、場合によっては、企業の存続すら危ぶまれる状況になり兼ねないほど、情報の管理に対して非常に厳しい時代へと変化しています。

おもに、情報管理という側面から主流となっている規格には、「プライバシーマーク（Pマーク）」と「ＩＳＭＳ（Information Security Management System）」などが挙げられますが、それぞれの規格のおもな特徴や目的のほか、仕組みにはどのような決定的な違いがあるのでしょうか。また、どちらの規格の取得を目指す方が企業にとって有利になってくるのでしょうか？

プライバシーマークとは

プライバシーマークとは、「Pマーク」とも呼ばれており、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合しており、個人情報保護に関して一定の要件を満たした事業者や医療機関などに対して、一般財団法人日本情報経済社会推進協会（JIPDEC）によって使用を認められる登録商標のことで、平成10年4月1日より運用が開始されました。認定されると、マークを自社のパンフレットやウェブサイトなどで使用することができるため、個人情報の安全な取り扱いを社会に対してアピールできるというメリットがあります。

また、プライバシーマークの認定を官公庁や自治体などの入札参加条件にしているところも多くなっているため、最近では、どうすればプライバシーマークを取得できるのか？など、費用や取得の相談を請け負ってくれる「プライバシーマーク取得支援サービス」などを利用して、取得する企業も多くなっています。マークを示すことによって、個人情報の保護に関する消費者の意識の向上を図ることや、適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりに応えるとともに、社会的な信用を得るための刺激や奨励を事業者側に与えることが目的とされています。

付与されることは、法律の規定を包含する「JIS Q 15001（個人情報保護マネジメントシステム－要求事項）」に基づいた第三者が客観的に評価する制度であることから、事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールするための有効なツールとして活用することができます。付与の有効期間は2年間となっており、以降は2年ごとに更新を行うことができます。

また、有効期間の終了する8ヶ月前～4ヶ月前までの間に更新の申請を行わなければならないという決まりがあります。

ISMSとは？

ＩＳＭＳ（アイ・エス・エム・エス）とは、「Information Security Management System」の頭文字で、組織や企業の部や課などにおける情報セキュリティをマネジメントするための仕組みという意味になります。

日本語では、「情報セキュリティ・マネジメント・システム」と呼ばれており、おもに適用範囲内の全ての情報資産全般（ハードやソフト、当然に個人情報も含まれる）などを対象としている制度です。この仕組みの基準として用いるのが、組織が保有する情報に関わっている様々なリスクを適切に管理し、組織の価値向上をもたらすISMSの国際規格である国際標準規格 ISO/IEC27001：2005あるいは、日本工業規格 JISQ27001：2006で、情報の機密性（C：Confidentiality）や完全性（I：Integrity）、可用性（A：Availability）の3つをバランス良くマネジメントをすることで、保有する情報資産を企業は有効に活用することができます。管理目的及び管理策（リスク対策）が、A5情報セキュリティ基本方針、A6情報セキュリティのための組織、A7資産の管理、A8人的資源のセキュリティ、A9物理的および環境的セキュリティ、A10通信および運用管理 、A11アクセス制御、A12情報システムの取得、開発及び保守 、A13情報セキュリティインシデントの管理 、A14事業継続管理、A15遵守のカテゴリに分かれており、133項目が明示されています。

更新は、3年毎となっており、毎年の継続審査を必要とし、IAF加盟の数10カ国の認定機関間で相互認証されている制度となっています。

どちらが良いのか？

情報セキュリティの必要性が求められている近年、経営者はどちらを優先的に取得するべきなのでしょうか？例えば、おもに業務を受託している企業のように、法人との取引きを中心としており、一般消費者に関わる情報については、それほど多く取り扱っていないような「B to B（Business to Business）」を主流としている企業にとっては、個人情報だけでなく取引先との情報や営業戦略、事業に関わる機密情報全般について対象の部門や業務などを明確に定めたうえで、セキュリティ対策を図ることが重要となってきますので、ＩＳＭＳの取得をする方が取引先からの信頼を高めることができるでしょう。

一方、一般消費者との取引が主流で、顧客情報や個人情報などを大量に取り扱うような「B to C（Business-to-Consumer）」を軸にしている企業の場合には、開示の手続きや苦情窓口の設置など、顧客対応の手順を社内でしっかりと確立し、組織全体で個人情報の適切な管理を実施することなどを顧客から求められることになるでしょう。

したがって、プライバシーマーク取得支援サービスなどを利用してマーク取得のための体制を築くことが、最も効果的であると言えます。

このように、プライバシーマークとＩＳＭＳは、経営者が会社の実情を踏まえたうえで、経営戦略を明確にして慎重に決定すべき事項であり、いずれかのみを選択する必要はありません。情報資産全般を取り扱うセキュリティ上、重要な部門でＩＳＭＳに沿ったマネジメントシステムを構築したうえで、個人情報の取扱いについては「JISQ15001」に沿った体制を築き上げるといった手法を用いれば、企業の情報セキュリティレベルは、より強化されることになります。

「プライバシーマーク（Pマーク）」と、「ＩＳＭＳ（Information Security Management System）」の決定的な違いとは、Pマークとは、あくまでJIS(Japanese Industrial Standards)とした日本独自の制度であり、情報主体である個人の情報の保護を目的として企業に運用を要請しているのに対して、ＩＳＭＳの場合には、国際規格となっており、組織が保有している情報資産にどのような脅威があり、その脅威によってどのようなリスクがあるかを把握し、リスクを軽減する為にはどのような対策を行うべきなのかなど、組織の情報を守ることを最優先としており、その結果として、個人の情報も守ることができるという制度であると言えるでしょう。いずれも、情報セキュリティに関する規格には変わりありませんが、まず第一に何を保護するのか？という目線で見た場合には、プライバシーマークについては、個人の情報を保護することを最優先としており、ＩＳＭＳの場合には、企業の情報を保護することを最優先としています。ここに、両者の決定的な違いがあります。また、法人（企業）の単位でしか取得することができないPマークに対して、ISMSの場合には、部署（組織）の単位でも取得することが可能となっているという違いもあります。