CEO Blog代表 舩越裕勝のブログ

企業のセキュリティ基準の代表的なこの２つ。いずれも、情報の取り扱いに関する社内規定をどう定めており、どういう管理体制をとっているのかを第３者機関に承認してもらう仕組みとして知られています。

プライバシーマークとＩＳＯ２７００１（ＩＳＭＳ）

お聞きになったことはあるでしょうか？

昨今の企業では、貴重な情報からどうでも良い情報？まで、様々な情報を取り扱うことから、社員一人ひとりの情報の取り扱い方法への意識を高めるために、弊社でもセキュリティ基準を明確にするという社内規定整備を進めています。

ただ、資格を取るということだけでなく、どういうことに注意して情報の取り扱いをすることが、必要なのかを一人ひとりが考える必要性があると感じています。

そんなセキュリティのお話ですが、今回の題名にもあるように２つのセキュリティ基準どう違うの？

早速調べてみることにしました。

———————————————————————————————–

一言でいうと、まずは認可制度としての誰から見た認証？という、目線が違うようです。主な違いは以下のとおり。

■ＩＳＯ２７００１（ＩＳＭＳ）

２００５年よりスタートした世界基準であるＩＳＭＳは、さまざまな情報に関して情報管理がしっかりできている会社（部署？）であることを証明するもの。組織として情報管理の仕組み・ルールの構築のための認可。情報セキュリティ全般を対象にしているが社内一部部署でも取得可。ＢｔｏＢ企業向き。１５７カ国の共通基準、３５００社以上が取得済。３年毎の更新審査１年１～２回の維持審査が必要。

■プライバシーマーク（通称：Ｐマーク）

１９９８年より、日本の規格であるプライバシーマークは、個人の立場から見て私の情報はこういったところに注意して管理をして欲しい！！というのが、この基準の元。個人が、会社に求める情報管理体制のルールを定めており、会社組織で、個人の情報保護に意識があり、個人情報を預けても安心できる！！というのを、認可する制度です。よって、企業としては全員対応、全部署対応必須、しかし、セキュリティ設定対象は個人情報に対してのみ。ＢtoＣ企業、もしくはＢｔｏＣ企業をクライアントに持つ会社向き。日本国内のみの規格であり、１１０００社以上が取得済。２年に１回の更新審査が必要。

また取得するには、双方とも８ヶ月～１年２ヶ月程度かかるようで、プライバシーマークのほうがＩＳＭＳより取得する期間多少短い傾向にあるようです。書類作成、ルール作成などは勉強すればできるようですが、最短期間で効率良く取得するためには、コンサルティング依頼して取得するのが一般的。その場合の費用は、３０万円～３００万円までで地域によってや、業務内容や取り扱う情報のルール決めによって変わるようです。いずれも日本ではＪＩＰＤＥＣ（ジェプデック・日本情報処理開発協会）という団体か、もしくは認可した団体が認証審査を行っています。

認可を取るとか取得するとかしないとか、そういうことで企業アピールすることも必要かもしれませんが、内部でしっかりとしたマニュアル作成と、情報全般の管理、そして特に個人情報に関しての管理体制を徹底することが必要だと感じました。

まずは、どういう基準が必要で、どういうことに注意して情報管理をするか。

企業として、情報化社会となった今。社内のコンプライアンスを保つために、情報のセキュリティを考え、管理する仕組みをルールとして考えることは、とても必要なことであるように思います。