ISMSとプライバシーマークの違いとは？

企業を運営するうえで、情報資産や個人情報が流出することはあってはいけませんが、残念ながら実際に多くの情報漏洩事件が起きてしまっています。そこで、2000年頃から「ISMS」や「プライバシーマーク」など、情報漏洩に関する第三者認証制度を導入する企業が増えてきました。今回は、ISMSとプライバシーマークについてご紹介いたします。

ISMSとは？

ISMSは「情報セキュリティマネジメントシステム」とも呼ばれており、企業や組織の情報資産や機密データを整理し、適正な管理や取り扱い、それらを継続的に運用していくルールの仕組みのことを言います。セキュリティ保護が必要な部署や事業所、ファイルなどが適用範囲となりますが、これらは企業や部署の状態に応じて自由に制定することができます。 基本方針や規格の面では、どのようなこと（保護を重視、効率を重視など）をメインに取り組んでいくのかを制定し、情報資産の洗い出しやリスクの検証を行い、それに対する対応策の方針を決めます。ISMS運営に必要な文書は多岐に渡り、ISMSの運用に必要な規定、企画書をはじめ、手順書、日々の運用に関する記録などの文書が挙げられます。

このようにISMSの認証には、企業や組織の情報資産に対してセキュリティ対策の枠組みを決定したり、それらのリスクに対してどのような対策を行えば良いかを管理したり、運用を行う一連のシステムを築き上げたりする必要があります。

プライバシーマークとは？

プライバシーマークは「個人情報について適切な保護措置を講ずる体制を整備している」という意味で、個人情報を適切に管理、使用しているという第三者認証制度のことです。多くの顧客情報を取り扱うサービス業などでは多く導入されておいる認証制度の1つです。

適用範囲としては個人情報が対象となり、企業全体が適用範囲となります。個人情報は企業の財産ではなく、個人から預かっているものを適切に管理するというのがプライバシーマークの運用の基本的考えとなっています。 規格としては、「JIS Q 15001」（個人情報保護マネジメントシステムの要求事項）に適合した個人情報保護を行うことが必須条件となっており、運用後に必要書類を提出し、第三者機関の審査を受ける流れとなります。

作成書類としては、申請に必要な会社や業務の概要、基本規定や運用マニュアルなどのPMS文書、さらに教育や監査に関する実施記録など多くの書類が必要です。

ISMSとプライバシーマークの違いと共通点

ISMSとプライバシーマークは、どちらも情報流出を防ぐ目的であるためのシステムですが、両者には違いもあります。ISMSは会社独自の情報資産を守る目的であり、個人情報も含め、機密文書や図面、製法など、あらゆる情報資産を安全に運用する仕組みに対し、プライバシーマークは個人情報に特化した安全管理のシステムで、個人の権利を尊重しながら、限られた範囲の中で安全に運用する枠組みを言います。両者では適用範囲や規格が違うものの、どちらも個人情報を扱うことが可能であるため、「個人情報の保護」という点では共通している部分も多いことが挙げられます。

どちらを取得するかは企業体質によって違い、例えばBtoBのような企業間取引がメインであればISMS、BtoCのような消費者メインの商取引であれば、プライバシーマークが良いと言えるでしょう。

いずれにしても個人情報の保護のためにネットワークセキュリティ対策やルールの確立が大切ですが、機密情報（※個人情報の保護を含むものも含まれる）が印刷されている紙の取り扱い、印刷物の取り扱いなどにおいても、セキュリティ強化が必要不可欠です。

このようにISMSやプライバシーマークを取得すると、会社全体がセキュリティに対しての意識を持つようになり、セキュリティ強化につながるほか、社会や顧客に対して安心と信用をアピールすることもできます。上記を参考にしながら第三者認証制度を検討してみてください。