IT業界の人と名刺交換すると、体感で7割に「たいせつにしますプライバシー」いわゆるプライバシーマーク(Pマーク)、2割に「ISMS」が印刷されている印象です。
どちらもセキュリティに関する外部認証のマークなのですが、何故名刺にまで印刷する必要があるのでしょう?
答えは簡単で、元請(プロパーと契約しているプライムベンダー:大手Sier)が、どちらかを取得した企業としか契約を結ばないという社内規定を設けている場合が多いからです。
名刺に印刷することで、「前提条件はクリアしているよ。」と言わずとも分かってもらえるようにしているのです。
それでは具体的に「たいせつにしますプライバシー」、「ISMS」とはどのようなものなのでしょうか?どのようにして取得するのでしょうか?
1.たいせつにしますプライバシー
一般財団法人日本情報経済社会推進協会(JIPDEC)が使用を許諾する「登録商標」です。プライバシーマーク(Pマーク)と呼ばれます。
プライバシーマークの使用を申請する企業は、JIS Q 15001(PMS:個人情報保護マネジメントシステム)と呼ばれる国際的な規格に沿って個人情報を保護する社内体制が整っているか、JIPDECの審査を受け、準拠していると認められればプライバシーマークの使用が可能になります。
外部認証のマークであるため、一定のセキュリティ意識を持つ企業であると社会的に認められます。
当初は「コンサルの資金稼ぎのための認証だ。」等、色々聞きましたが、もはやデファクトスタンダードになってしまいました。個人情報漏洩事件が相次ぐ中、会社として、取引先の信頼を得るため取るしかない認証規格となりました。
一般財団法人日本情報経済社会推進協会(JIPDEC)(https://privacymark.jp/)
プライバシーマークの取得方法
申請するにあたり、「JIS Q 15001(PMS:個人情報保護マネジメントシステム)」を実践している企業であると証明しなけばならないため、大量の資料を作成する必要があります。
先ずは社内で「個人情報保護方針」を作成するところからスタートし、「個人情報保護体制」を作成し、実践部分であるPDCAの各種資料作成を行っていきます。
最後に協会からの立ち入り検査を受け合格すれば、費用を払って晴れてプライバシーマーク取得企業となります。
この立ち入り検査の日、社内に「他の部署に入るな」と全社連絡が入るのはIT業界あるあるです。
資料の作成は自社で行い申請費用のみの場合、会社の規模により30万~120万。
社内にプライバシーマーク申請に精通した方がいない場合は、さすがにコンサルに頼むしかなく、コンサルに頼んだ場合、中規模の会社で総額約200万かかったと話を聞きました。
プライバシーマークの運用方法
2年ごと更新となります。「JIS Q 15001(PMS:個人情報保護マネジメントシステム)」の継続的運用を証明するため実践部分であるPDCAの各種資料を提出して更新審査を受けます。
更新審査に合格したら、更新費用として、会社の規模により30万~120万支払い、更新となります。
2.ISMS(Information Security Management System)
ISMSは情報セキュリティマネジメントシステムと呼ばれる、情報セキュリティに関する社内体制が「ISO/IEC27001」と呼ばれる国際的な規格に沿って運用されているか、を外部機関が認証する認証規格です。
語弊があるかもしれませんが、ある意味プライバシーマークの上位認証です。
「たいせつにしますプライバシー」が個人情報を保護する社内体制に特化しているのに対し、「ISMS」は個人情報に関わらず、すべての情報セキュリティに対しての社内体制を規定します。
仮に「たいせつにしますプライバシー」と「ISMS」各々1つ取っている2社がある場合、「ISMS」を取っている方が上の印象です。
しかしながら、「ISMS」を取得しているほどの企業の場合、「たいせつにしますプライバシー」もほぼ併せて取得しています。
認証機関については、プライバシーマークのように1つの協会が窓口ではありません。
・一般財団法人 情報マネジメントシステム認定センター(ISMS-AC)(https://isms.jp/)
・公益財団法人 日本適合性認定協会(JAB)(https://www.jab.or.jp/)
以上の2社が日本のISO認証のトップ機関として存在し、この2社いずれかが認定した認証機関約50社に認証申請します。申請者が上位の2社に直接申請することはできません。
最近は、ほとんどがISMS-ACの認証になっています。ISMS-ACはIT系認証に特化した認証機関で、ISMS(ISMS)だけでなくITSMS、BCMS、CSMS、ISMSクラウドセキュリティの認証も行っています。
「たいせつにしますプライバシー」と「ISMS」の違い
|
たいせつにしますプライバシー |
ISMS |
| 国際規格 |
- |
ISMS |
| 国内規格 |
JIS Q 15001 |
JIS Q 27001 |
| フレームワーク名 |
PMS
個人情報保護マネジメントシステム |
ISMS
情報セキュリティマネジメントシステム |
| 特徴 |
個人情報保護に特化 |
社内の全ての資産に対するセキュリティ。個人情報はその中の一つという位置付け |
「ISMS」の取得方法
ISMS-AC、JABが認定した認証機関約50社のいずれかで申請及びコンサルをお願いすることになります。認証機関により費用はばらばらですが概ね300万~1000万と言われます。
「ISMS」の運用方法
3年ごと更新ですが、審査は毎年あり、結局はコンサルと月々いくらという保守契約を結ぶことになります。
3.その他の認証
ISMSを認証する一般財団法人 情報マネジメントシステム認定センター(ISMS-AC)が実施する認証規格です。
ITSMS(IT Service Management System)は、ISO/IEC20000に準拠した認証規格です。ITILの外部認証です。
BCMS(Business Continuty Management System)は、ISO/IEC 22301に準拠した認証規格です。BCPの外部認証です。
国際認証規格としては、
などもあります。
他に、CMMI(:Capability Maturity Model Integration 能力成熟度モデル統合)と呼ばれる認定もありますが、ごく一部の企業が認定を受けている程度です。
