「Pマークをすでに取得しているけど、新たにISMSも取得する必要がある!」「ゼロからPマークとISMSの同時取得に向けて取り組みを始めたい!」こうしたご要望をお持ちのお客さまが意外に多くおられ、ご相談を受けることがよくあります。
個人情報の保護に特化したPマークと社内の情報資産全てを対象としたISMS認証では管理対象が異なってくるため、入札条件や取引上の要請により、場合によっては両方を取得する必要に迫られるかもしれません。
今回は、同じ会社でPマークとISMS認証を同時に取得・維持することを考えた場合に気をつけたい点をご紹介します。
情報管理の仕組み・体制
PマークとISMS認証を同時取得するにあたってまず考えたいのは「情報管理の仕組み・体制」です。
Pマークの体制(PMS)もISMSも“PDCAサイクル”の手法で継続的改善を行う点で共通しているため、仕組みを定義する文書類は統合して一元管理することが可能です。
2つの異なる仕組みを運用するよりも、なるべく1つにまとめたほうが現場の負担も少なく、管理も容易になります。
「情報セキュリティ管理者」と「個人情報保護責任者」は兼任することができますが、「内部監査責任者」は兼任ができないので注意が必要です。
内部監査については別途実施する必要はなく、規格の要求事項を網羅したチェックリストを作成することで、PマークとISMSの監査を同時に実施することができます。
審査時期の決定
社内での仕組み統合がうまくいったとしても、認証のための審査はPマークとISMSで別々に受審する必要があります。このため「審査の時期を近づけるか、遠ざけるか」という判断が重要になります。
それぞれの審査時期を近い日程で設定した場合は、ある時期に集中させることで審査準備や指摘事項対応をまとめて行うことができるため、負担や工数を軽減することができます。
またPDCAサイクルの起点を揃えやすく各種見直しや内部監査などのスケジュールが立てやすいというメリットがあります。
一方で、それぞれの審査で別々の指摘事項が数多く上がった場合にはその対応に追われることになるというデメリットも存在します。
最悪のケースは、相互の審査で矛盾する指摘を受けてしまうことです。どう折り合いをつけるかの判断をおこなう必要が出てきます。
審査時期をある程度ずらした場合は、準備や対応をそれぞれの審査に合わせて実施できるため、万一相互に矛盾するような指摘を受けたとしても対応に時間をかけることができます。
一方でPマーク審査のある年には年2回審査が行われることとなるため審査対応の負担が増大するほか、PDCAサイクルの各種スケジュールについての調整が必要となる場合があります。
こうしたメリットやデメリットを考慮して、審査時期を決定することをお勧めします。
さいごに
PマークとISMSはPDCAサイクルという点で共通点もありながら、一方で留意すべき相違点もあります。
このため双方の特徴を意識しないままに両方を取得してしまうと負担が増大し、最悪の場合マネジメントシステムの運用が破綻してかえってリスクが増大してしまう、という結果にもなりかねません。
PマークとISMSの同時取得をご検討の際は、コンサル会社に相談されることをお勧めします。
