ISMS・Pマークを取得して安心・信頼される企業へ。取得方法を解説!
21世紀になり、ICT(情報通信技術)は、社会インフラとして重要な地位を占めるようになりました。多くの法人ではICTを活用してデジタルマーケティングなどの業務を遂行し、さまざまな個人向けビジネスが展開されています。
ICTはビジネスを営む上で必須のものになっていますが、活用する際には「個人情報保護対応」が求められます。信頼される企業になり、顧客・利用者に安心感を与えるためには、ISMS適合性評価制度における認証を受けたり、Pマークを取得したりしなければなりません。(いずれも後述)
また近年、公共事業の入札などにおいて、ISMSの認証やPマークの取得が条件とされるケースが増えています。ビジネスチャンスを逃さないためにも、認証・取得は不可欠なものといえるでしょう。
本記事では、個人情報保護対応の必要性やISMS・Pマークの認証方法、取得する際の課題について徹底解説します。
1.ISMSとPマークは信頼される企業に必要な認証
インターネットをはじめとするICT(情報通信技術)がビジネスや社会生活の中に深く浸透したことに伴い、情報セキュリティの確保が強く求められるようになり、2003年に国会で「個人情報保護法」が成立し、経済産業省によって「情報セキュリティ管理基準」が定められました。
なお、組織における情報セキュリティ管理の枠組みとしては、「ISMS(Information Security Management System、情報セキュリティマネジメントシステム)」もあります。情報セキュリティ管理基準とISMSは、国際標準規格の「ISO/IEC 27001」(および、それを翻訳したものである日本産業規格の「JIS Q 27001」)に基づいて策定されているという点で共通しています。
ただし、情報セキュリティ管理基準は「組織内部の情報セキュリティ体制を段階的に改善していく目的」で用いられるのに対し、ISMSは「自社が信頼できる企業であることを対外的にブランディングする目的」で第三者機関から認証を受けるという違いがあります。
1.1ISMS
ISMS適合性評価制度は情報セキュリティ体制に関する第三者認証制度であり、一般社団法人情報マネジメントシステム認定センターが認証を実施しています。法人単位ではなく、部門単位で認証を受けることも可能です。
1981年に作られた情報システム安全対策実施事業所認定制度が「施設・設備などの物理的な対策に重点が置かれ、人的要素を含むマネジメントが確立されていなかった」という問題を受けて廃止された後、その受け皿として2002年からISMSの本格的運用が開始されました。
ISMSは、技術面だけではなく、人間系(運用・管理面)のセキュリティ対策も重視していることが特徴です。また、国際標準規格である「ISO/IEC 27001」との整合性も取れているため、認証を受ければ「国際的に通用する水準の情報セキュリティ体制が構築されている」と対外的にアピールできます。
1.2Pマーク
個人情報の保護体制に関する第三者認証制度としては、ISMSの他にも、一般財団法人日本情報経済社会推進協会(JIPDEC)が実施する「プライバシーマーク制度」があります。プライバシーマーク制度は、「JIS Q 15001」に準拠して個人情報を適切に取り扱っている業者に対して「プライバシーマーク(Pマーク)」の使用を認める制度であり、1998年に運用が開始されました。
Pマークも、ISMSと同じように、「対外的に自社の情報セキュリティ体制が整っていることを示す目的」で取得されるものです。日本産業規格の「JIS Q 15001」に基づいて策定されている規格であるため、日本国内でのみ通用する点にご留意ください。
なお、「情報資産すべて」を対象とするISMSと異なり、プライバシーマーク制度は「個人情報保護」に特化しています。また、ISMSとは異なり、部門限定で取得することはできません。
2.ISMS認証を取得するうえでの課題
ISMS認証を取得する際には、「情報が一元化されていない」「社内意識が低い」「チェック体制が曖昧」といった課題を解決しなければなりません。各課題について説明していきます。
2.1情報が一元化されていない
ISMS認証を取得する際は、経済産業省の情報セキュリティ管理基準について理解することが欠かせません。情報セキュリティ管理基準は、企業が実施すべき情報セキュリティ対策がまとめられたドキュメントなので、ISMS認証を申請する上でも役立ちます。
例えば、情報セキュリティ管理基準の「9.アクセス制御」の「9.2 利用者アクセスの管理」には、社内システムにアクセスする権限に関するさまざまな取り決めが記載されています。
業務遂行に使うアプリの実行権限を必要な人物にだけ与えることは、不正アクセスや情報漏洩防止という観点から重要です。しかし、このようなアプリのアクセス権限を管理する際に「ユーザー数が多く、IDが一元管理されていないため、無効化や削除を徹底できない」という問題が発生することがあります。
強固な情報セキュリティ体制を構築するためには、アプリの権限に限らず、さまざまな情報を一元管理しなければなりません。
2.2社内意識が低い
ISMS認証の取得は、「情報セキュリティに対する社員の意識改革を実施すること」と同義です。社員の意識・モラルを向上させなければ、情報セキュリティ体制は強固なものになりません。情報セキュリティポリシーの策定のみでは、情報セキュリティ対策は不十分です。
社員全員に「自分の役割は、どのようなものなのか」「具体的に、どのように情報セキュリティポリシーを遵守するのか」について周知徹底することが不可欠です。社内の情報セキュリティ意識が向上すれば、取引先・顧客に信頼感・安心感を与えることが可能となり、顧客満足度の向上に繋がります。
2.3チェック体制が曖昧
「ISMS認証を取得したら、それで終わり」というものではありません。ISMSでは、構築した情報セキュリティ体制の運用を開始した後に、内部監査の実施が求められます。なお、有効期間が3年となっており、年1回の維持審査を受ける必要がある点にもご留意ください。
チェック体制が曖昧な状態では、内部監査を実行できません。あらかじめ「どこの部署が、どういう方法で内部監査を実施するのか」を明確にしておきましょう。
3.Pマーク認証を取得するうえでの課題
Pマークを取得する際には「取引先からPマークを求められたため、スピーディーに取得しなければ取引が停止される可能性がある」「現状の社内ルールが不十分なので、個人情報を保護するためのルール・体制を再構築しなければならない」などの事情を抱えているケースもあるのではないでしょうか。
また、取得後に更新を行う際は2年分の資料を用意しなければならないので、準備を計画的に進める必要があります。以下、Pマークの取得・更新において発生する課題について説明していきます。
3.1急に認証取得が必要になる
国や地方公共団体が実施する公共事業において「Pマークの取得」が入札参加条件とされているケースがあります。具体的には「自治体公式サイトの制作や管理・運営」「書類の発送代行」「水道メーターの検針」「駐車場の管理」などの個人情報を取り扱う業務の入札において、Pマークが必要となることがあります。
また、民間企業相手に取引している場合でも取引先からPマークの取得を求められることがあり、その場合は、急いでPマークを取得しなければ取引停止に追い込まれるかもしれません。
公共事業への進出を考えていたり、取引先から取得を求められていたりする場合は、スピーディーな取得を実現するために、申請のノウハウを有するコンサルタントに依頼することをご検討ください。
3.2ルールの再構築が必要
Pマークを取得するためには、個人情報保護マネジメントシステム(PMS)を構築しなければなりません。PMSとは、JIS Q 15001に規定されている「個人情報を保護する体制を整備して、定められた通りに実行し、定期的な確認や、継続的に改善するための管理の仕組み」を指します。
PMSを構築するためには、社内で取り扱っている個人情報を特定したり、リスクを分析したり、法令を調査したりする必要があります。安全対策が不十分だと判明した場合は、個人情報を取り扱うルールを再構築し、JIS Q 15001の内容を満たすように体制を整えましょう。
3.3更新準備が遅れる
Pマークは一度取得すれば永久に有効ではなく、2年ごとに更新する必要があります。
なお、有効期間満了日の8ヶ月~4か月前までに更新申請を行う必要があります。更新審査においては「前回の審査終了後から個人情報保護の体制がしっかりと社内で維持・運用されていたか」をチェックされます。
2年分の資料を用意しなければならないため、申請期限に遅れることがないように時間に余裕をもって準備を進めましょう。
4.ISMS・Pマーク認証において大切なこと
ISMSの認証を受けたり、Pマークを取得したりする上で大切なことは「社員の意識改革」と「取得した後に社内に浸透させる」の2点です。それぞれについて詳しく説明していきます。
4.1社員の意識改革が必要
情報セキュリティに関する事故は、社員のちょっとした気の緩みに起因することがあります。また、社員が情報の取り扱いルールを明確に把握していないことも、情報漏洩が発生する原因の一つです。
ISMSの認証やPマークの取得には、従来の業務を一つ一つ見直して、情報セキュリティ事故が発生しないような体制を構築しなければなりません。
また、社員の意識改革も必要です。情報セキュリティ担当部署を設置し、パンフレットを配布したりeラーニング用の動画を作成したりして啓発活動に取り組みましょう。
4.2取得後社内に浸透させる
情報漏洩事故を未然防止するためには、単にISMS認証やPマークを取得するだけで満足してはなりません。
ISMS認証やPマークを取得していても、取得後の社内体制がいい加減な状態では漏洩事故が発生する可能性があります。定期的に研修を実施するなどして「常に漏洩のリスクに留意しながら、情報を扱う態度・姿勢・文化」を社内に浸透させましょう。
5.ISMS・Pマークの取得申請は専門家に依頼しよう
多くの企業がインターネットを利用したビジネスを営むようになり「情報漏洩が発生した」というニュースを見聞きする機会も増加しました。情報通信技術を用いてビジネスを営む企業は、強固な情報セキュリティ体制を構築しておかなければなりません。
ちなみに、個人情報保護法によって、個人情報取扱事業者は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を取り扱う場合に安全管理措置を講じる義務が課されています。違反すると損害賠償責任が発生したり刑事罰が科せられたりする可能性があります。
個人情報保護意識の高まりによって、個人情報を扱う公共事業に入札する条件として、ISMS認証やPマークの取得が求められるケースがあり、民間企業相手に取引している場合でも取引先から取得を求められることがあります。
なお、ISMS認証やPマークを取得すれば、対外的にセキュリティ体制をアピールすることができます。厳格な情報セキュリティ体制を構築していても、外部からは把握できません。「取引先から信頼される」「顧客に安心を与える」という目的を実現するために、ISMS認証やPマークの取得を検討してみてはいかがでしょうか。
ただし、申請にはさまざまなノウハウが必要なので、ISMS認証やPマーク取得の経験があるコンサルタント企業に依頼しましょう。
5.1認証取得ならオプティマ・ソリューションズ
ISMS認証やPマークの取得を検討しているのであれば、弊社INDUSTRIAL-XもPマーク取得で協業連携しているオプティマ・ソリューションズをご紹介します。
オプティマ・ソリューションズは、2005年に創業してから累計1,800件以上のISMS・Pマークの導入コンサル実績があり、情報漏洩対策のノウハウを蓄積しています。なお、PマークやISMSの審査員を兼務している社員が在籍しているため、最新の規制や要件のトレンドを把握したサポートが可能です。
単に認証を取得するだけではなく、社員の意識や社外からの評価が向上したり、不透明だった部分が明確化されたりするといった副産物も得られます。
株式会社INDUSTRIAL-Xでは、オプティマ・ソリューションズの指導の下、実際にPマークを導入した経験から、会社や従業員が満たさなければならない業務や環境要件が経験できています。その経験を活かしてPマーク導入に関する導入側業務整理などの支援実績があります。導入にあたっては、当社でサポートいたしますので、まずはお気軽にご相談ください。