事業者が保有している個人情報の取り扱いが適切に行われているか、第三者が客観的に評価し適切な保護をするための認証制度であるPマーク(PMS)は、自社の個人情報保護レベルを対外的にアピールするためのツールとして様々な企業で活用されています。一方で、ISMS認証(ISO:27001)やISMSクラウドセキュリティ認証(ISO:27017)との関連性や違いがはっきりとしないという方もいらっしゃることと思います。
本記事では、そもそもPマーク(PMS)とはなにかや、ISMSとの違い、取得のメリット・デメリット、取得までのプロセスなどについて解説します。
Pマーク(PMS)とISMSの概要
Pマーク(PMS)とは
Pマーク(プライバシーマーク制度/PMS:Personal Information Protection Management Systemsの略称)は、法律の規定を包含するJIS Q15001(個人情報保護を目的として、組織が個人情報を適切に管理するためのマネジメントシステムの要求事項が定められたJIS規格)に基づいて個人情報の取り扱いが適切に行われているか第三者が客観的に評価し、合格した際にプライバシーマークを付与する認定制度です。
事業者にとっては法律の適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し運用することを対外的にアピールできる有効なツールとして活用が可能となります。
プライバシーマーク制度ではJIS Q15001をベースに以下の法律なども審査の基準に組み込まれるため、法律の適合性を確認することができます。
– 個人情報保護法
– 個人情報保護法に関するガイドライン
– 地方自治体による個人情報関連の条例
– 業界団体の個人情報関連のガイドライン等
ISMS(Information Security Management System / 情報セキュリティマネジメントシステム)とは?
ISMS(ISMS適合性評価制度)とは、情報の機密性、完全性、可用性(※)を保護するための体系的な仕組みのことです。具体的には、国際規格「ISO/IEC 27001(日本版はJIS Q 27001:2014)」で定められている要求事項(情報セキュリティを効果的かつ継続的に行うための具体的なルール)が満たされているかどうかを認証する仕組みのことをいいます。ISO/IEC 27001には要求事項のほか、管理策と呼ばれる情報セキュリティの対策集も記載されています。
ISO/IEC 27001の要求事項に則ったマネジメントシステムを運用し、認証機関の審査を受けることで、ISMSを取得することができます。これらの要求事項は、ITセキュリティの管理方法、アクセスコントロール、オペレーションセキュリティ、さらには人的セキュリティなど、ITシステム全体のリスクを踏まえた内容となっています。その他、ISMSの詳しい解説についてはこちらの記事をご覧ください:「ISMSとは:なぜ必要?ISOとの違いや認証制度について解説」
(※)情報の機密性、完全性、可用性
・機密性(Confidentiality):「アクセスすることが認可された者だけが情報にアクセスできる」という状態を確保すること。
・完全性(Integrity):情報および処理方法が正確な状態、および完全である状態(改ざんや消去、破壊などが行われていない状態)を安全防護すること。
・可用性(Availability):「認可された利用者が、必要なときに情報にアクセスできる」という状態を確保すること。
(参考:総務省「国民のためのサイバーセキュリティサイト」)
Pマーク(PMS)とISMSの違い
Pマーク(PMS)とISMSの比較
PマークとISMSの最大の違いは、前者が個人情報に特化した規格であるのに対し、後者は情報セキュリティ全般に関する認証であるという点です。その他の主な違いについて、以下の表にまとめました。
規格 | Pマーク | ISMS |
代表的な管理組織 | 日本情報経済社会推進協会(JIPDEC) | 情報マネジメントシステム認定センター(ISMS-AC) |
規格の規模 | 日本国内の規格 | 国際規格 |
対象(認証単位) | 国内に活動拠点を持つ事業者 | 組織、サービス、事業、個人など自由 |
保護範囲(目的) | 個人情報保護に特化 | 情報セキュリティ全般の管理方法を定義 |
取得数 | 16,957社(3月31日時点) | 6,978(7月22日時点の取得組織数) |
取得後の運用 | 2年ごとに更新審査を受ける必要がある | 毎年審査を受ける必要あり。更新審査は3年ごと |
アドオン(拡張)規格 | なし | あり |
ISMSのアドオン(拡張)規格
ISMSには、いくつかのアドオン規格が存在します。以下に代表的なものを3つ挙げていますが、これらはISMS(ISO/IEC 27001)の取得を前提として追加で取得するものであり、単独では取得できません。
ISO/IEC 27017
ISMSの管理策をクラウドサービスに拡大したもので、クラウドを提供する組織、利用する組織の双方に適用される規格です。
ISO/IEC 27018
クラウド上に保管されている個人情報の取り扱いに特化したもので、クラウドを提供している組織にのみ適用される規格です。
ISO/IEC 27701
ISMSの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが定められた規格です。
Pマーク(PMS) / ISMS認証取得が必要な企業とは?
取得を検討すべき企業
以下のいずれかに当てはまる企業は、PマークまたはISMSの取得を検討してみることをお勧めします。
Pマーク(PMS)
・個人情報を取り扱うビジネスを展開している
・個人を特定できる情報を扱っている
※個人情報の例:住所、氏名、メールアドレス、位置情報、写真データ、動画データ、医療関係情報(カルテ、往診履歴)、匿名加工した情報など
ISMS
・セキュリティを強化したいと考えている
・セキュリティ基準を作りたいと考えている
・セキュリティへの取り組みを強く求められる事業やサービスを展開している(クラウドサービス事業者、医療関係の事業者、機密性の高い情報を扱うサービスの提供者など)
企業が認証取得に至った理由の実例
・取引先から要求があったため(取得しないと契約/更新ができないと言われた、など)
・VC(ベンチャーキャピタル)から投資条件として提示されたため
・IPOにおける必須事項として指定されたため
・事業の拡大に伴い、取引先の提示するセキュリティレベル(セキュリティチェックシート)をクリアするため
・海外の顧客と取引するにあたり、国際セキュリティ規格への準拠が必要になったため
Pマーク(PMS) / ISMS取得目的:メリット・デメリット
Pマーク/ ISMSを取得する目的やメリット・デメリットとしては、一般に以下のようなことが挙げられます。
メリット
Pマークならば個人情報の取り扱いに関して、ISMSならば情報セキュリティ体制に関して、一定のレベルを有していることが証明できることが、主なメリットと言えます。また、現状を把握し、問題点を明確に列挙できる点や、業務効率化による生産性の向上、重要情報・個人情報取り扱いにおける従業員の意識向上といった点でも、Pマーク / ISMS取得により一定の効果を見込むことができます。
<対外的メリット>
・顧客からの信頼性の向上
・他社との差別化
・取引条件のクリア
<内部的メリット>
・情報セキュリティリスクの低減
・従業員の意識やモラルの向上
・業務効率の向上
デメリット
それに対してデメリットは、業務負荷やコストといった点になります。このため、Pマーク / ISMSの取得を検討する事業者は、会社の事業内容や取引内容、運用体制を踏まえ、取得目的を設定する必要があると言えます。
主なデメリット
・業務負荷の増大
・コストの増大
・マニュアルや文書が増える
Pマーク(PMS)とISMS、どちらを取るべき?
判断基準としての各認証の特徴
まず、Pマークは、全社で個人情報を適切に保護するためのものであるのに対し、ISMSは対象範囲(サービス、組織など単位は自由)を決めて情報セキュリティの管理・運用を決めていくものです。これを踏まえると、B2C企業にはPマークが、B2B企業にはISMSが適していることが多いです。
また、主に個人情報を取り扱うサービスを提供している場合はPマークが適しています。一方で、情報セキュリティの管理・運用を幅広くしっかりと行いたい場合や、今後自社のクラウドサービスなどへの認証拡張を考えている場合には、ISMSの方が適しています。
その他、どちらを選ぶべきかに関する判断基準となるような各認証の特徴を、以下の表にまとめました。
規格 | Pマーク | ISMS |
ビジネス形態 | B2C企業向き(ただしIT系企業は例外) | B2B企業やクラウドサービスを提供する事業者向き |
対象範囲 | 会社単位 | 自由に決定でき、拡張も可能 |
守るべき情報 | 定義された個人情報のみ | 自由に設定可能(個人情報など、社外秘以上のレベルの情報であることが多い) |
取得までの期間 | 6か月〜 | 10か月〜 |
判断のためのフローチャート
ご参考までに、どちらを取得すべきかを判断するための簡易的なフローチャートを作成しました。
Pマーク(PMS) / ISMS構築までのステップ
Pマーク / ISMSを構築していくには、準備期間に始まり、リスクアセスメントや規程を策定する構築期間を経て、実際の運用に落とし込んでいく必要があります。そして最後に内部監査のうえ審査を行い、Pマーク / ISMSを取得します。
また、更新に関しても、Pマークは2年ごと、ISMSは3年ごとに更新が必要となるため、取得後も安全管理策を継続的に運用していくための体制を取得時に整えることが求められます。
組織的、継続的な改善のために
組織的、継続的な改善を行うためには、そのためのPDCAサイクルを仕組みとして構築する必要があります。ここでいうPDCAサイクルとは、具体的には以下のような事です。個人情報保護のレベルを上げるためには、このPDCAサイクルを回し続けていくことが重要なポイントになります。
【PLAN】 個人情報保護方針/情報セキュリティ方針、計画
問題を整理し、目標を立て、目標を達成するための計画を立案する
【DO】 実施および運用(リスク認識、文書化、教育など)
目標と計画をもとに、実際の業務を行う。
【CHECK】 パフォーマンス評価、運用確認、内部監査、マネジメントレビュー
実施した業務が計画通り行われて、当初の目標を達成しているかを確認。
【ACTION】 是正処置および予防処置、継続的改善
評価結果をもとに、業務の改善を行う。
取得支援コンサルサービスの利用
認証取得は長期的なプロセスになる上、やらねばならないことがたくさん出てきます。また、専門的な知識が求められる場面も多いため、セキュリティコンサル会社などの認証取得支援サービスを利用するのがお勧めです。
弊社マキナレコードでも、ISMSやPマークの取得支援サービスを提供しています。取得までの4ステップすべてを通してサポートを行い、認証取得後の維持運用・更新まで支援いたします。また、認証の種類で迷っている、違いを明確にしたい、などのお悩みがある場合には、コンサルタントから最適な認証を提案させていただくことも可能です。
サービスの詳細については、弊社ホームページをご確認ください。
また、セキュリティ体制構築支援に関する詳細資料を無料で配布しております。以下のリンクからお申し込みください。