Pマーク(プライバシーマーク)を捨て、ISMS(ISO27001)に切り替える時とは?
プライバシーマークの代わりにISMSに切り替えたいというお客様の事例をもとに、ISMSの紹介やそれぞれの規格のメリット・デメリットについてお伝えしていきます。
目次
プライバシーマークとISMSどちらにすべき?
① ISMSとは
ISMSとはISO27001(Information Security Management System)の略称です。
個人情報保護に特化したPマーク(プライバシーマーク)と違い、情報セキュリティ全般の保護を目的としたマネジメントシステムです。
実は弊社クライアント様ではプライバシーマークからISMS(ISO27001)に切り替える企業様は少なくありません。
例えばこんな事例がありました。
システムの労務派遣型の開発業務を請け負うA社様。
顧客要求でプライバシーマークを取得してはいましたが、取り扱う個人情報は十数名の技術者情報のみ。
顧客から業務上で個人情報を預かるわけでもなく、記録作成作業の煩わしさから弊社がお手伝いをしていても、実際のところ物足りなさを感じていました。
結果「代わりにISMSを取得したいんですけどどうなんですかね?」というお言葉を頂きました。
A社様のように技術者個人情報以外の個人情報を主には取り扱っていなくとも、理解のない取引先からプライバシーマークの認証取得を要求される事例は多数あります。
② どちらにすべきか
弊社はこれまで8,000社に昇る企業様をお手伝いさせていただいておりますが、そういった取引先からの無茶な要求の為に仕方なく取得しているので実運用に違和感を覚えている企業様からの問い合わせは跡を絶ちません。
ところが、数年前より『プライバシーマークでなくとも情報セキュリティマネジメント規格であれば良い』と言われるケースが出てきたそうです。
これは、A社様の様に業務上で取り扱う個人情報が少量の企業の場合、大きな違いとなります。
もちろん、弊社としてはプライバシーマークを否定するつもりもないのですが、現実問題として取引先からの無茶な要求のためにやむなくプライバシーマークを認証しなければならない事実がそこにはありました。
十数名の技術者個人情報を保護するマネジメントシステムよりも、開発情報や顧客情報の為のマネジメントシステムのほうが、企業の実態に沿った運用が行いやすいのは疑いようもない事実です。
もしどの規格が企業にマッチしているかでお悩みの方は一度ご相談ください。
メリット・デメリット
① プライバシーマークのメリット・デメリット
メリット
・認知度の高さ
・ISMSにと比べると審査は2年に一度と頻度は少ない
・費用はISMSに比べると一般的に安い(対象人数によります)
デメリット
・(A社様の場合)守るべき対象個人情報がほぼ無い
・審査機関の選定がほぼできない
・費用に変動がないのでどの審査機関でもほぼ一緒
・ISMSに比べると管理策が少ない(少なく見える)
② ISMSのメリット・デメリット
メリット
・(A社様の場合)個人情報が少なくても情報セキュリティ全般で守れる
・審査機関の選択肢が豊富なので自社にあったところを選べる
・実は管理策が多く見えても自由度が高いので実運用に絡めることが出来る
デメリット
・毎年審査がある
・費用はPマークと比べると高くなりがち
・認知度(2018年10月時点で国内5,500社程度)
といったことが挙げられます。
これらを比較していき、お客様にとってメリットのある規格を認証することをお勧めしております。
メリット・デメリットをまとめたことでA社お客様の意思決定はより明確となり、無事ISMSの運用に切り替えることとなりました。
最後に
ここ数年、無料相談や営業の際にプライバシーマークからISMSへの切り替えを耳にすることが増えました。
社内で、取引先で、困ることがあったら当ブログのメリット・デメリットを比較してみるのはいかがでしょうか?
無料相談を承っておりますので、いつでもお気軽にお問い合わせくださいませ。
カテゴリー:
タグ :