プライバシーマークとISMSはどちらも取得する必要はあるのか

近年はインターネットやIT技術の発達により、国民一人一人の氏名や生年月日、住所など様々な情報が非常に価値あるものへと変化してきました。

これらの情報が一度漏洩すれば、様々な犯罪に悪用されたり迷惑なダイレクトメールが無数に届くようになるなど数多くの弊害が起きてしまいます。

このため日本でも次々に個人情報を守るための規制や法整備が進められており、大切な情報を悪用から守るために企業も対策を講じる必要に迫られているのです。

そんな中で、より個人情報保護に尽力して消費者にとって有益となる企業を分かりやすくアピールするため、プライバシーマークや情報セキュリティマネンジメントシステムという制度がスタートされました。まだ一般に広く浸透していないため馴染みは薄いですが、個人情報を重視する人にとっては非常にありがたく役立つ制度となっているため、その内容を詳しく知っておいたほうが良いと言えます。

ただ、プライバシーマークも情報セキュリティマネンジメントシステムも同じ個人情報保護に役立つものとはいえ、その違いや特徴などが分かりにくいのが難点です。

企業側としても積極的に取得すれば企業経営にプラスに働くこともあるため、社内で検討を重ねるためにも経営トップや担当部署がしっかり内容を把握しておく必要があります。

プライバシーマークや情報セキュリティマネンジメントシステムとはそもそも何なのか、どのように取得すれば良いのか、両方とも取得しておいた方が良いのかなど気になる点をチェックしておきましょう。

プライバシーマークとは

プライバシーマークとは、様々な目的によって企業内に集められた個人情報に関してセキュリティを徹底させ、一定の要件を満たした保護を行っている企業や事業者に対して使用が認められる登録商標のことです。

簡単に言えば、個人情報保護を厳重に行っている企業の証明となるマークのことで、省略してPマークなどと呼ばれることもあります。
Pマークの付与対象となるのは、日本の中に活動拠点を置いている企業や事業者であり、法人であることが前提となっています。特定の日本工業規格に適合した個人情報保護システムを採用していることや、これを実施可能な体制を企業内に整えていること、情報が適切に取り扱われていることなどの条件を満たす必要があります。
Pマークを取得したい場合は、まず申請料を準備して事務局へ申し込むことになります。この申請料が振り込まれると本審査手続きが開始されるのですが、例え審査の結果付与を認められなかったとしても申請料は返還されません。

また、審査が始まると審査料、マークの付与が認められると2年間分の登録料が必要となります。全ての費用を考えると高くつくこともありますが、最近では取得を推進するためにプライバシーマーク取得支援サービスを行っている自治体も増えています。

自治体ごとにサービスの内容は異なりますが、かなりの費用を支援してくれるところもあるので、より手軽に取得を目指せる環境になっています。

ISMSが果たす役割とは

ISMSとは情報セキュリティマネンジメントシステムという言葉の略であり、企業内の様々な情報に関して技術対策を行い、セキュリティを強化してリスクマネンジメントを徹底させるシステムのことを指します。ISMSを運用することで保有する情報の機密性や安全性などをしっかりと維持し、必要に応じて改善することで常にリスクを適切に管理することができます。

これにより、その企業を利用する顧客や消費者に対して情報セキュリティに関する安心感や企業に対する信頼感を与えることができ、社会的信用を高めることに繋がるのです。
この制度は国際標準規格や日本工業規格によって運営されており、企業内のあらゆる情報資産全般が保護の対象となっています。

個人情報はもちろん、その他の様々な情報も範囲に含まれるためハードルは高く、付与や3年ごとの更新が認められても毎年継続審査を受ける必要があります。

133項目もの詳細なセキュリティ管理対策をクリアする必要があり、より厳重で高度な情報保護対策が成されているといったイメージを持たれます。

実際はシステムを適用する範囲を企業が決めることになるので、ごく一部分の情報のみに適用されることもあります。企業にとっては自分たちに必要な部分に対策を集中させたり、セキュリティレベルやルール作りをある程度自由に行うことができるので、Pシーマークと比べると運用しやすいというメリットがあります。

どちらを取得したほうがメリットになるのか

企業の情報保護という面で考えると、プライバシーマークもISMSも同じような内容になっているので混乱することも多いです。ただ、情報セキュリティマネンジメントシステムは保護の対象となる情報の範囲をある程度自由に決めることができるため、社内の一部分だけ保護を必要としていたりセキュリティ強化したいという場合に役立ちます。
この2つの制度はそもそもの目的が異なっており、Pマークは顧客や従業員など企業に集まる個人情報や権利の保護を目的としています。

情報セキュリティマネンジメントシステムは個人情報だけでなく、社内の情報資産全てを保護するシステムやルール作りを目的としています。このように目的が異なるため、どちらを取得したほうがメリットになるのかは企業ごとに異なると言えます。

社内で顧客や取引相手などの個人情報を直接集める機会が多い場合は、Pマークを取得しておいた方が個人情報を大切にしていると社会に対するアピール効果が大きいため効果的です。

自社で情報を集めず、取引先が集めた個人情報を取り扱ったり管理する機会が多い場合や、セキュリティシステムの強化を行って企業に対するアピールを強めたいという場合であれば情報セキュリティマネンジメントシステムの方が適しているということになります。

このように、自社がどういった業務を行っているか、どういった部分で情報保護に注力したいかといったポイントに応じて、どちらを取得すべきか考えるようにしましょう。

このようにPマークと情報セキュリティマネンジメントシステムは一見すると内容が似ているように見えますが、実は情報保護に関する特徴が異なっています。

もちろん両方取得しておけば消費者相手や取引先企業相手どちらにも情報保護が充実していることをアピールできるのですが、両方とも同じ情報保護に関するシステムであるため重複する部分も多くなります。

その分コストや手間の部分で損をしてしまうこともあるので、一般的には自社の業務内容やニーズに応じて必要性の高い方を優先的に取得することになります。

無理や無駄のない対策を行っていくことが重要なので、2つの制度の内容や目的の違いをよく理解しておくことが必要だと言えます。
また、これらの制度を取得する場合は申請料や登録料などの費用がかかるのですが、Pマークの方が費用が安いことやプライバシーマーク取得支援サービスがあるためこちらを取得したほうが良いと考える企業も多いです。

ただ、情報セキュリティマネンジメントシステムの方は情報保護を行う範囲を限定することができるため、その部分だけで認証取得すれば費用を抑えることもできます。

一概にPマークの方が安くてお得という訳ではないので、安易にコストの大きさだけで選ぶことの無いようにしましょう。
ITや情報保護の分野は毎年発展が目覚ましい分野になっているので、こういった制度を活用して社会に安心できる環境をアピールすることは円滑な企業経営の上で非常に重要となります。