「たいせつにしますプライバシー」と「ISO/IEC27001」

 IT業界の人と名刺交換すると、体感で7割に「たいせつにしますプライバシー」いわゆるプライバシーマーク(Pマーク)、2割に「ISO/IEC27001」が印刷されている印象です。
 どちらもセキュリティに関する外部認証のマークなのですが、何故名刺にまで印刷する必要があるのでしょう?
 答えは簡単で、元請がどちらかを取得した企業としか契約を結ばないという社内規定を設けている場合が多いからです。
 名刺に印刷することで、「前提条件はクリアしているよ。」と言わずとも分かってもらえるようにしているのです。
 それでは具体的に「たいせつにしますプライバシー」、「ISO/IEC27001」とはどのようなものなのでしょうか?どのようにして取得するのでしょうか?

1.たいせつにしますプライバシー

 一般財団法人日本情報経済社会推進協会(JIPDEC)が使用を許諾する「登録商標」です。プライバシーマーク(Pマーク)と呼ばれます。

 プライバシーマークの使用を申請する企業はこの協会の審査を受け、審査に合格し、費用の払込を行った上でプライバシーマークの使用が可能になります。

 外部認証のマークであるため、一定のセキュリティ意識を持つ企業であると社会的にみられます。

 情報保護の方法として「JIS Q 15001(PMS:個人情報保護マネジメントシステム)」に準拠していることを証明します。

 当初は「コンサルの資金稼ぎのためにあるものだ。」、「セキュリティを連帯保証人のように保証しないのならば何のためのマークなのか?」等、色々聞きましたが、もはやデファクトスタンダードになってしまいました。情報漏洩事件が相次ぐ中、会社としての信頼を得るため取るしかありません。

一般財団法人日本情報経済社会推進協会(JIPDEC)(https://privacymark.jp/)

プライバシーマークの取得方法

 申請するにあたり、「JIS Q 15001(PMS:個人情報保護マネジメントシステム)」を実践している企業であると証明しなけばならないため、大量の資料を作成する必要があります。
 先ずは社内で「個人情報保護方針」を作成するところからスタートし、「個人情報保護体制」を作成し、実践部分であるPDCAの各種資料作成を行っていきます。
 最後に協会からの立ち入り検査を受け合格すれば、費用を払って晴れてプライバシーマーク取得企業となります。
 この立ち入り検査の日、社内に「部外を出歩くな」と全社連絡が入るのはIT業界あるあるです。
 資料の作成は自社で行い申請費用のみの場合、会社の規模により30万~120万。
 社内にプライバシーマーク申請に精通した方がいない場合はさすがにコンサルに頼むしかなく、コンサルに頼んだ場合、中規模の会社で総額約200万かかったと話を聞きました。

プライバシーマークの運用方法

 2年ごと更新となります。「JIS Q 15001(PMS:個人情報保護マネジメントシステム)」の継続的運用を証明するため実践部分であるPDCAの各種資料を提出して更新審査を受けます。 更新審査に合格したら、更新費用として、会社の規模により30万~120万支払い、更新となります。

2.ISO/IEC27001

 情報セキュリティマネジメントシステム(ISMS)と呼ばれる運用規格です。語弊があるかもしれませんが、ある意味プライバシーマークの上位認証です。
 仮に「たいせつにしますプライバシー」と「ISO/IEC27001」各々1つ取っている2社がある場合、「ISO/IEC27001」を取っている方が上の印象です。
 しかしながら、「ISO/IEC27001」を取得しているほどの企業の場合、「たいせつにしますプライバシー」もほぼ併せて取得しています。


 認証機関については、プライバシーマークのように1つの協会が窓口ではありません。
 公益財団法人 日本適合性認定協会(JAB)(https://www.jab.or.jp/)が日本のISO認証のトップ機関として存在し、
 ISO/IEC27001等の情報マネジメント系認証に特化した一般財団法人 日本情報経済社会推進協会 情報マネジメントシステム認定センターISMS-AC(https://isms.jp/)が同列の機関として並びます。
 この2機関が認定した認証機関約50社のいずれかということになります。申請者が上位の2社に直接申請することはできません。

「たいせつにしますプライバシー」と「ISO/IEC27001」の違い

たいせつにしますプライバシー ISO/IEC27001
国際規格 - ISO/IEC27001
国内規格 JIS Q 15001 JIS Q 27001
フレームワーク名 PMS
個人情報保護マネジメントシステム
ISMS
情報セキュリティマネジメントシステム
特徴 個人情報保護に特化 社内の全ての資産に対するセキュリティ。個人情報はその中の一つという位置付け

「ISO/IEC27001」の取得方法

JAB、ISMS-ACが認定した認証機関約50社のいずれかで申請及びコンサルをお願いすることになります。認証機関により費用はばらばらですが概ね300万~1000万と言われます。 費用はさておき、50社のうちでは特に一般財団法人 日本品質保証機構(JQA)(https://www.jqa.jp/)が有名です。

「ISO/IEC27001」の運用方法

 3年ごと更新ですが、審査は毎年あり、結局はコンサルと月々いくらという保守契約を結ぶことになります。

3.その他の認証

 この2つ以外でIT業界で行われる認証としては、セキュリティ認証ではありませんが、

  • ISO/IEC9001:品質マネジメントシステム

  • ISO/IEC14001:環境マネジメントシステム

  • ISO/IEC38500:ITガバナンス

  • ISO/IEC20000:ITサービスマネジメントシステム(ITSMS)

 などがあります。


 他にCMMI(:Capability Maturity Model Integration 能力成熟度モデル統合)と呼ばれる認定もありますが、日本ではまだごく一部の企業が認定を受けている程度です。



おすすめの関連記事

SIerの著作権について詳しく考えます
SIerからの目線で、著作権について考えます。
使用者側の立場でソフトウェアライセンスを考えます
使用者側の立場でソフトウェアライセンスを考えます。