Pマーク(PMS)とISMSの違い、取得のメリットとは | The Codebook

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

The Codebook > NEWS > Pマーク(PMS)とISMSの違い、取得のメリットとは

Pマーク(PMS)とISMSの違い、取得のメリットとは

 

事業者が保有している個人情報取り扱いが適切に行われているか、第三者が客観的に評価し適切な保護をするための認証制度であるPマーク(PMS)は、自社の個人情報保護レベルを対外的にアピールするためのツールとして様々な企業で活用されています。一方で、ISMS(ISO:27001)やISMS(ISO:27017)との関連性や違いがはっきりとしないという方もいらっしゃることと思います。

本記事では、そもそもPマーク(PMS)とはなにかや、その他規格の関連性や取得のメリット・デメリット、ISMSとの違いなどについて解説します。

Pマーク(PMS)とは

Pマーク(プライバシーマーク制度/PMS:Personal Information Protection Management Systemsの略称)は、法律の規定を包含するJIS Q15001(個人情報保護を目的として、組織が個人情報を適切に管理するためのマネジメントシステムの要求事項が定められたJIS規格)に基づいて個人情報の取り扱いが適切に行われているか第三者が客観的に評価し、合格した際にプライバシーマークを付与する認定制度です。
事業者にとっては法律の適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し運用することを対外的にアピールできる有効なツールとして活用が可能となります。
プライバシーマーク制度ではJIS Q15001をベースに以下の法律なども審査の基準に組み込まれるため、法律の適合性を確認することができます。

– 個人情報保護法
– 個人情報保護法に関するガイドライン
– 地方自治体による個人情報関連の条例
– 業界団体の個人情報関連のガイドライン等

 

Pマーク(PMS)取得目的:メリット・デメリット

Pマーク(PMS)を取得する目的やメリット・デメリットとしては、一般に以下のようなことが挙げられます。

メリット

個人情報の取り扱いに関して一定のレベルを有していることが証明できることが、主なメリットと言えます。また、現状を把握し、問題点を明確に列挙できる点や、業務効率化による生産性の向上、従業員の個人情報取り扱いにおける意識向上といった点でも、Pマーク(PMS)取得により一定の効果を見込むことができます。

<対外的メリット>

・顧客からの信頼性の向上
・他社との差別化
・取引条件のクリア

<内部的メリット>

・情報セキュリティリスクの低減
・従業員の意識やモラルの向上
・業務効率の向上

デメリット

それに対してデメリットは、業務負荷やコストといった点になります。このため、Pマーク(PMS)の取得を検討する事業者は、会社の事業内容や取引内容、運用体制を踏まえ、取得目的を設定する必要があると言えます。

主なデメリット

・業務負荷の増大
・コストの増大
・マニュアルや文書が増える

Pマーク(PMS)とその他規格の情報保護範囲

情報資産全体のリスクマネジメントを行うことを目的としたISMS/ISO27001は、組織の大小に関わらず適用する事を前提にしており、ISMSが定義する管理項目は、企業側のリスク重要基準に依存します。
ISMSは、組織が重要と判断する情報資産を対象に、PDCAサイクルを構築して情報セキュリティをマネジメントする必要があります。
これに対してPCI DSSは、クレジットカード業界のセキュリティ基準であり、カード会員情報を保護するための具体的な技術基準です。
またPマークは事業目的で利用する個人情報の取り扱いのみを対象にしており、認証範囲が日本国内となっていることも特徴です。

 

Pマーク(PMS)構築までのステップ

Pマークを構築していくには、準備期間に始まり、リスクアセスメントや規定を策定する構築期間を経て、実際の運用に落とし込んでいく必要があります。そして最後に内部監査のうえ審査を行い、Pマークを取得します。
また、更新に関しても、Pマークは2年ごとに更新が必要となるため、取得後も個人情報保護のための安全管理策を継続的に運用していくための体制を取得時に整えることが求められます。

組織的、継続的な改善のために

組織的、継続的な改善を行うためには、そのためのPDCAサイクルを仕組みとして構築する必要があります。ここでいうPDCAサイクルとは、具体的には以下のような事です。個人情報保護のレベルを上げるためには、このPDCAサイクルを繰り返し継続させていくことが重要なポイントになります。

【PLAN】 個人情報保護方針、計画

問題を整理し、目標を立て、目標を達成するための計画を立案する

【DO】 実施及び運用(リスク認識、文書化、教育など)

目標と計画をもとに、実際の業務を行う。

【CHECK】 パフォーマンス評価、運用確認、内部監査、マネジメントレビュー

実施した業務が計画通り行われて、当初の目標を達成しているかを確認。

【ACTION】 是正処置及び予防処置、継続的改善

評価結果をもとに、業務の改善を行う。