INDEX
近年も相次ぐ個人情報の不正な取り扱いや個人情報を狙ったサプライチェーンへのサイバー攻撃。その影響から、消費者や取引先から高いレベルの情報セキュリティを求められていると感じる企業も多いのではないでしょうか。
そこで改めて見直したいのが、「プライバシーマーク(Pマーク)」や「ISMS(情報セキュリティマネジメントシステム)」といったセキュリティ認証。しかし、2つの違いがわからないという方もいると思います。
今回は、個人情報や企業情報保護の観点から必要性が指摘されているプライバシーマークとISMSの相違点を比較しながら、取得条件・方法を解説していきます。
プライバシーマークとISMSとは?
プライバシーマークとISMSは共に情報セキュリティの保護に関わる規格ですが、それぞれの特徴や目的が異なります。まずはプライバシーマークとISMSは具体的にはどういうものなのか、概要を説明します。
プライバシーマークとは
●概要
プライバシーマークとは、個人情報を正しく取り扱っていると認められた企業に付与されるマークのことです。一般財団法人日本情報経済社会推進協会(JIPDEC)によって審査され、基準を満たしている企業にのみ、プライバシーマークの使用が認められます。これがプライバシーマーク
制度です。審査基準は、日本産業規格「JIS Q 15001」に基づいています。
●目的
プライバシーマークにより、企業が個人情報を適切に取り扱う体制にあるのか、従業員が個人情報保護の意識を持って取り組んでいるのかを証明することができます。取得によって、高いレベルの個人情報保護を行っていると客観的に認定されるため、消費者や取引先企業への信頼性のアピールにもつながります。
ISMSとは
●概要
ISMSとは、企業が所有する情報を守り、管理するため仕組みのことです。名称は情報セキュリティマネジメントシステムを意味する「Information Security Management
System」の頭文字から取っています。情報セキュリティマネジメントとは、情報の保護だけを指しているわけではありません。企業で扱う情報の「機密性」「完全性」「可用性」を確保することと定義されています。
- 機密性:許可されてない人が、情報に触れられない状態
- 完全性:情報が正確・最新であり、破壊・破損・紛失されていない状態
- 可用性:許可されている人が、常に利用しやすい状態
つまり、ISMSとは、個人・企業情報を守り、正しく使えるようにする仕組みのことを指します。
●目的
ISMSの目的は、「機密性」「完全性」「可用性」の3つを企業が常に認識し、日々改善してすることで、情報セキュリティに関するリスクを管理し、顧客や取引先から信頼を得ることです。
(参照:『情報マネジメントシステム認定センター(ISMS-AC)』)
プライバシーマーク制度とISMSの違い
プライバシーマーク制度とISMSは情報を取り扱う規格/認証という点では同じですが、制度の目的や内容に大きな違いがあります。それぞれの異なる点は以下の表の通りです。
①:設立の経緯
プライバシーマークの制度は、インターネットの普及による国際的な個人情報保護意識の高まりから設立されました。
1995年代に個人情報の保護体制について定めた「EUデータ保護指令」の採択、1997年に経産省が「個人情報保護のガイドライン」を発表した翌年にプライバシーマークが発足しています。
ISMSはもともと海外の一部情報サービス業のコンピューターシステムの安全対策から始まっています。日本のISMSはイギリスの情報セキュリティの基準「BS7799-2」を土台に作られ、2001年にスタートしました。
②:規格
プライバシーマークは「日本工業規格
JISQ15001:2006」という日本国内のみで通用する規格です。プライバシーマークを取得しても、海外の企業者や消費者に向けて情報セキュリティに関する信頼性をアピールする効果はありません。
ISMSの規格は「国際標準規格 ISO/IEC27001:2013」で、国際的に適合する規格です。
③:保護対象
プライバシーマークは設立の背景にある通り、あくまで個人情報の保護のみを目的としている制度です。保護対象に個人情報以外の情報資産は含まれていません。
ISMSの場合、企業の個人情報を含む情報資産全体が保護対象です。そのため、保護する情報の範囲はプライバシーマークよりもおのずと広範囲で多角的になります。
④:認証範囲
プライバシーマークの認証の適用範囲は企業全体となります。個人情報を特に取り扱っていない部門であってもプライバシーマークの規格の基準に従って個人情報の取り扱いを行う必要があり、部門、部署によっては取り扱いの負担が重くなります。
ISMS認証は保護する情報の範囲はプライバシーマークより広くなりますが、取得の際に適用する範囲を選択できます。情報を多く取り扱う部門や企業の中での限定的な取得が可能ですが、その場合、認証の適用範囲外ではISMS認証を使用することはできません。
⑤:要求事項
プライバシーマークが企業に要求するのは「適切な個人情報の取り扱い」です。これは、個人情報の利用に際する意思決定や、個人情報を管理するための台帳の整備、個人情報の取得、利用に関する規定作りなど個人情報の取り扱い全般に及びます。
個人情報を適切に保護するための規格が厳密に定められており、そこから逸脱した運用を行うと認証を受けられなくなります。
一方で、ISMS認証が企業に要求するのは情報の機密性・完全性・可用性の維持からなる情報セキュリティの管理体制や仕組みの構築です。管理体制や仕組みを構築する手順や文書化の方法は厳密に決まっておらず、規格に則っていれば企業独自の対応が可能です。
⑥:更新タイミング
プライバシーマークもISMSも認証を取得した後も適切に情報が取り扱われているか定期的な更新審査があります。
プライバシーマークの更新は2年ごとで、以前の更新からの管理状況や運用状況が審査されます。また、更新申請時には「教育と監査の実施記録」が必要となります。プライバシーマーク制度は1年に1回以上の教育と監査を企業に求めているため、更新は2年ごとですが「教育と監査の実施記録」は1年毎に作成し、更新申請時には2年分の実績を提出する必要があります。
ISMSの更新審査は3年毎ですが、1年毎に維持審査と呼ばれる審査もあります。更新審査は認証範囲全体での運用を審査し、維持審査は全体ではなく重点的にチェックすべき点を審査します。
⑦:費用
認証にかかる費用はプライバシーマークとISMSでは差があります。一般的にプライバシーマークよりISMSの認証の方が取得する際にかかる費用が高額となります。
プライバシーマークは事業規模によって取得にかかる費用が一定ですが、ISMSは審査登録機関によってかかる費用が異なり、維持審査にかかる費用が毎年追加で発生します。
プライバシーマーク・ISMSはどちらを取得するべきか
プライバシーマーク、ISMSはどちらも取得するに越したことはありませんが、一律に取得が勧められている訳でもありません。企業規模、個人情報の取り扱い方、ビジネスモデルによって異なります。取得には手続きや時間、コストを要しますので、自社に必要なのかを検討するようにしましょう。
プライバシーマーク取得が有効な企業
個人情報保護の観点であるプライバシーマークの場合、多数の顧客の個人情報を取り扱うBtoC企業が取得することで有効性を発揮します。百貨店や自動車販売会社、保険会社などが例として挙げられます。
ISMSの認証取得が有効な企業
ISMSの取得が有効な企業は、第一に自社で直接取得する個人情報が少なく、外部からの情報処理で個人情報を扱うBtoB企業です。
個人情報より自社の情報資産を管理したい企業は費用がかかってもISMS認証を取得する意義が大きいと言えます。サプライチェーンの関係で取引先の大企業からセキュリティ対策を求められる企業も、プライバシーマークではなくISMSの認証取得が適しているでしょう。
プライバシーマークのISMS認証の違いを見極めてから取得の検討を
プライバシーマークとISMSの違いは「費用の違い」「国内の規格か、国際基準の規格か」という違いだけではありません。企業のビジネススタイルや規模、事業展開の方向性によってどちらの取得がいいのか、どちらも取得すべきかは異なってきます。
プライバシーマーク、ISMS共に認証と認証後の更新は手間や時間、コストがかかります。個人情報保護や情報セキュリティマネジメントについて自社はどのような対策を取るのか、情報セキュリティのレベルを上げて信頼性をアピールしたい層はどこか見極め、自社にとって有益な認証の取得を検討してください。