情報セキュリティ体制構築に対する第三者認証という、似た役割を持つ「ISMS(ISO27001)」と「プライバシーマーク」(※1)ですが、取得の際にどちらを取るのか迷うという方も多くいます。
今回は、取得の際の参考の一つとして、プライバシーマークとISMSで必須項目の違い(※2)を紹介します。
また、ISMSとPマークそれぞれの違いや特徴、取得までの流れをひとつの資料にまとめました。ぜひ本記事と併せてお役立てください。
※1 以下、「プライバシーマーク」を「Pマーク」と表記します。
※2 本コンテンツでは、ISMSでは任意ですが、Pマークでは必須項目となるものを中心にピックアップしています。
作業毎の必須項目の違い
申請作業
項目 | Pマーク | ISMS |
---|---|---|
申請作業 |
|
審査機関への審査申込 |
第三者認証を取得する際、専門の認定機関に審査を依頼する必要があります。ISMSとプライバシーマークの審査依頼の際の主な違いに、書類の提出・送付書類があります。
表の通り、Pマークは紙で出力をし、提出を求められるものがほとんどです。
しかし、ISMSでは、事前の資料の提出は求められないケースが多いです。審査機関や審査員にもよりますが、実際の審査においても、社内規程を紙に印刷する必要は無く、パソコンのモニタやディスプレイで審査員に見せるケースもめずらしくありません。
委託先評価
項目 | Pマーク | ISMS |
---|---|---|
委託先評価 |
|
組織が必要と決めた方法による管理を実施 |
ISMS、Pマークいずれの認証も委託先の管理評価が必要です。Pマークは、自社で定めた要件ではなく、「個人情報を適切に管理しているか」が焦点となります。
秘密保持契約書を締結していたとしても、Pマークが求める内容を含まない場合、契約の取り直しになることもあります。
対してISMSは、自社で決定した一定の基準を満たせば委託先として認められます。ISMSでは、委託先へのアンケートの実施や委託先一覧表の作成は、必須ではありません。委託先にお渡ししている情報資産の重要度を鑑みて、どのような管理方法が適切なのか、ISMSの取り組みの中で決定していくことが可能です。
規格が求める水準を盛り込むべきか、自社で基準を決めて、委託先の評価をするのかは、自社で取扱う個人情報の種類や量を鑑みて判断すると良いかもしれません。
入退室・来客管理
項目 | Pマーク | ISMS |
---|---|---|
入退室・来客管理 |
|
組織が必要と決めた方法による管理を実施 |
Pマークでは、朝何時に誰が最初に入室して、夜何時に誰が退室したのかという
「入退室記録」と、外部の第三者がオフィスの執務スペースに入室する際の記録である「来客記録」を作成することが必要です。
対してISMSでは、具体的にどのような入退室管理を行なう必要があるか、という具体的な記録の作成までは求められていません。
「セキュリティを保つべきエリアがあれば、そのエリアでは、適切な入退室管理を行いましょう」という事が求められています。
その為、例えば「重要な情報が保管されているサーバエリアのみ、入退室記録を取ろう」であるとか、「重要な資料はすべて鍵付きキャビネットに保管しているので、現段階では入退室記録を取る必要はないだろう」などの選択・判断をすること可能です。
より自社の構造・入退室の頻度などを考慮してルールを策定できるのは、ISMSであるといえます。
採用時面接の同意
項目 | Pマーク | ISMS |
---|---|---|
採用時面接の同意 | 採用面接時に採用応募者から取得する際、必ず個人情報の取扱いの同意を得る | 個人情報保護法を始めとした、法令やガイドラインに遵守する必要がある |
採用面接時、Pマークでは、「個人情報の利用目的」「廃棄方法」を同意書に盛り込み、同意のサインを取得する事が義務付けられています。
対してISMSでは、採用面接時に同意を得ることは必須ではありません。
ただし、採用選考時など、本人から個人情報を直接取得する場合には、「取得する個人情報の利用目的を本人に明示しなければならない」と個人情報保護法で規定されています。
法令やガイドラインは遵守する必要があるので、法律に従い、採用選考時には採用応募者の個人情報の利用目的を明示しましょう。
紙媒体の管理
項目 | Pマーク | ISMS |
---|---|---|
紙媒体の管理 | 施錠管理 | 組織が必要と決めた方法による管理を実施 |
Pマークでは、個人情報が記載された履歴書や職歴書などは、鍵のかけられるキャビネットや引出しに施錠保管することが義務付けられています。
対してISMSでは、規格で決められた条件を満たす場所にしまわなければならないという義務はありません。セキュリティが保たれるレベルで、自社に合った管理方法での管理を検討することが可能です。
セキュリティが最低限保たれる場所であれば、鍵付きのキャビネットの新規購入など、
設備投資にコストが発生することはありません。
機器の管理
項目 | Pマーク | ISMS |
---|---|---|
機器の管理 | ノートPCのワイヤーロックまたは施錠管理 | 組織が必要と決めた方法による管理を実施 |
Pマークでは、現状の事業者内でノートPCを使用している場合は、何らかの盗難防止策を規定する必要があります。ルールの策定時に、主に採用される方法としては、帰宅時には「施錠できる場所に保管する」や、「ワイヤーロックを実施する」などの盗難防止策を実施しましょう。
ISMSでも、同様の盗難防止策が採用されることが多いです。組織が必要と決めた盗難防止策であればかまいませんが、多くはPマークと同様に、施錠管理やワイヤーロックなどの盗難防止策を行っています。
個人情報の開示等請求の対応フロー
項目 | Pマーク | ISMS |
---|---|---|
個人情報の開示等請求の対応フロー |
|
個人情報保護法を始めとした、法令やガイドラインに遵守する必要がある |
Pマーク特有のルールです。
実際に発生する事は少ないですが、Pマークの規格で求められているため、対応手順の確立が必須です。
下記の点についての手順を考え、ルールブックに記載する必要があります。
- 個人情報の開示
(私の個人情報を持っていますか?) - 利用目的の通知
(どんな目的で私の個人情報を持っていますか?) - 個人情報の訂正・追加・削除
(個人情報に変更があったので、訂正・追加・削除してください) - 個人情報の利用又は提供の拒否権
(私の個人情報を今後使わないでください)
対してISMSでは、個人情報の開示等請求に対応する手順を決めておく必要はありません。
ただし、個人情報保護法上で「開示等請求があった場合は対応しなければならない」と規定されているため、
開示等請求があった場合はISMS取得事業者であっても対応する必要があります。
最後に
以上、プライバシーマークとISMSで必須項目の違いの一部をピックアップしました。
Pマークでは規格で求められる一定の水準を越え、必須の対応が求められるものが多くあります。
しかし、ISMSでは自社の目指すセキュリティレベルに合わせた管理体制のルール策定が可能です。
また、ISMSとPマークの違いや、それぞれの特徴、取得までの流れをわかりやすくまとめた資料をご用意いたしました。ぜひ無料でDLして本記事と併せてご活用ください。