皆さんこんにちは。プライバシーザムライです。
今回は「プライバシーマーク」と「ISMS」にフォーカスを当て、その違いを解説したいと思います。具体例を交えながら、私の体験・経験・所感も織り交ぜて、二つの制度の違いと重要性を深掘りして解説していきます。
(1)プライバシーマーク(Pマーク)とは?
プライバシーマークは、組織内で個人情報保護の取り組みが適切に行われていることを示す認証マークです。日本産業規格であるJIS Q 15001(個人情報保護マネジメントシステム要求事項)に基づいて、審査機関による審査が実施されて、日本の企業や組織に付与されます。省略して「Pマーク」と呼ばれる場合もあります。
具体的には、リクルート、NTT、日立製作所、パナソニック、JTB、広告代理店、人材派遣など、大手企業から、小規模なベンチャー企業や士業事務所、一般財団法人、NPO法人まで、幅広い業種業態の組織がプライバシーマークを取得しています。2023年現在、国内での取得数は17,000社を超えています。
私は多くの企業がプライバシーマークを取得するお手伝いをしてきましたし、プライバシーマークを取得されている企業の方とお話しすることも多いですが、プライバシーマークを取得している企業は、顧客の信頼を大切にし、多く保有している個人情報に万が一のことがあってはならないと真剣に取り組んでいる印象を受けます。
(2) ISMS(ISO27001)とは?
一方、ISMSは、「Information Security Management System(情報セキュリティ・マネジメントシステム)」の略で、組織内で情報セキュリティの取り組みが適切に行われていることを示す認証マークです。ISMSは、国際標準規格であるISO/IEC 27001に基づいて、プライバシーマークと同様に審査機関による審査が実施されて、企業や組織に付与されます。規格名称から「ISO27001」と呼ばれる場合もあります。
具体的には、NTTデータ、富士通、GMOインターネットなどのIT企業を中心に、結婚紹介業や引っ越し屋さんなどのサービス業も幅広くISMSを取得しています。プライバシーマークは全部署(法人全体)での取得が原則になるのに対して、ISMSは部署を限定して取得することができるため、各企業が必要な部署だけに限定して取得するケースが多くみられます。2023年現在、国内での取得数は7,000組織を超えています。
もちろん私は、多くの企業がISMSを取得するお手伝いもしてきましたし、ISMSを取得されている企業の方とお話しすることも多くあります。ISMSを取得している企業は、個人情報に限らず情報全般の取扱いをしっかり管理することで、不正アクセスや情報漏えいなどを起こさない体制作りに取り組んでいるという印象を受けます。
(3)プライバシーマークとISMSの違い
プライバシーマークは、個人情報の取り扱いに特化しているのに対し、ISMSは情報全般のセキュリティを対象としています。これは意外と大きな違いになります。
(プライバシーマーク)情報の棚卸しで作成するのは「個人情報台帳」であり、個人情報ではない情報は含まない。情報セキュリティの取り組みはかなり限定的で、ISMSほど本格的ではない。一方で個人情報の利用目的を明確にしたり、プライバシーポリシーを見直したり、保有個人データの開示等の求めの準備を行うなど、個人情報保護法の規定を満たしていることの確認は厳しく行われる。
(ISMS)情報の棚卸で作成するのは「情報目録」であり、価値ある情報は全て含まれる。「機密性(権限のある人だけが見れる)」「完全性(情報が正しい)」「可用性(必要な時はいつでも見れる)」の三要素をバランスよく高めることが原則であり、リスクアセスメントの結果、必要なセキュリティ対策を行う手法が採用されています。一方で個人情報保護法の細かな規定を満たしているかどうかは審査対象外です。
このように、2つの制度はかなり異なる制度と考えた方がよさそうです。
(4)どちらを取得するべきなのか
制度の趣旨から考えると、法律に基づいた個人情報の取扱いを実践したい場合にはプライバシーマーク、情報セキュリティの水準をアップしたい場合にはISMSとなり、その両方を高めたい場合には両方を取得するということになると思います。
ただし、マーク取得で得られるものとコストのバランスを見ると、もう少し考えるべき点があります。
まず、顧客や取引先の認識として、プライバシーマークでもISMSでも「当社はしっかり対策しています」と対外的にアピールする上で、それほどの違いがない場合もあります。ここは顧客や取引先がどの程度詳しいかによって異なってくると思われます。「プライバシーマークは知っているけど、ISMSは知りません」というような場合もあるかもしれませんし、「プライバシーマークは国内規格、ISMSは国際規格だからISMSの方が上なんですよね」というような評価を受ける場合もあります。まずそのあたりの評価を知ることが重要です。
次に、上記(2)でも書いたとおり、ISMSは部署限定で取得できるという大きなメリットがあります。新規事業の部署だけで取得するとか、入札を担当する公共の部署だけで取得するというように、必要な範囲だけに絞ってISMSを取得することで、審査料金も社内工数も節約できる可能性があります。
最後は取得までに必要な期間です。プライバシーマークの審査を受けるには最低でも3か月、長いと6か月くらいかかる場合もあります。また医療・介護情報を多く保有している場合にはMEDIS-DC(医療情報システム開発センター)から審査を受けることになりますが、ここの審査を受けるには9か月くらいかかる場合もあります。その点、ISMSの審査は長くても3か月以内ですから、取得までの期間を短くすることが可能です。
(5)最後に
プライバシーマークとISMSは、どちらも企業が情報を適切に管理するための重要な認証です。プライバシーマークは個人情報の保護にフォーカスし、ISMSは情報セキュリティ全般をカバーします。これらを適切に活用し、顧客の信頼を築くことが、企業の成長と持続性にとって必要不可欠です。
私の経験上、これらの認証を持つ企業は、競合他社に対して優位に立つことが多いです。どのような規模の企業でも、情報保護に対する取り組みは重要です。今後もこの分野は進化し続けるでしょうから、私たちは常に学び続ける必要があると感じています。
当社(オプティマ・ソリューションズ株式会社)では、皆様がプライバシーマークやISMSについて最適な選択をし、社内体制を構築し、スムーズにマークを取得できるようにお手伝いをしております。興味を持っていただいた方は、下記の「メールで問い合わせる」ボタンから当社までお問い合わせください。
皆様のビジネスがさらに飛躍することを心から願っています。
