コラム:〜プライバシーマークとISMSの違い〜(2015.6.17)
弊社にプライバシーマークの取得、あるいはISMSの取得のご相談をしてくださるお客様に「プライバシーマークではなくISMSはいかがでしょうか?」、「ISMSではなくプライバシーマークの取得はご検討されたことはございませんか?」などとお伝えすることがあります。
重要顧客から具体的にこの認証と指定されて取得するように要求されているようなケースはこれには当たりません。
われわれが別の認証をご提案する場合には、たいていはプライバシーマークとISMSの違いや運用の手間・費用から総合的に考えたときに別の認証のほうが利にかなっている場合や、その認証制度がお持ちになっている課題とのミスマッチが発生している場合となります。
まずは、プライバシーマークとISMSの基本的な違いを理解した上で自社にあった認証の取得をお薦めしています。
基本的な違いは以下の表をご確認ください。
ISMSもプライバシーマークもマネジメントシステムに関する認証のようですが、プライバシーマークの場合保護対象が「個人情報」と決まりがあり、国等が定めるガイドラインが存在することからある程度の情報セキュリティ水準が担保されるように、審査の中で情報セキュリティ対策に対する指導が行われています。またプライバシーマークは情報セキュリティだけでなく、取扱う個人情報について本人との関係で行わなくてはならない措置も定められています。
これはISMSでは、自分で情報セキュリティ水準を定めなくてはならないのと比較して、「楽」と感じられる事業者もあれば、「大変である」と感じられる事業者もあるポイントです。
実は、それ以上に大きいのは、認証単位の問題です。
プライバシーマークを取得する場合には、会社単位での取得ですので全社の取り組みにする必要があり、ISMSの場合には組織(ビジネス)単位での取り組みで認証を取得することができます。
弊社では、お客様のお話を伺った際に、会社の事業の内容や得意先からの要望、保護したい情報資産などからどちらの認証取得がふさわしいかアドバイスしています。
シーピーデザインコンサルティングのプライバシーマーク取得サポートはこちら
プライバシーマークやコンサルティングについての無料セミナー(東京)はこちら
シーピーデザインコンサルティングのISMS取得サポートはこちら
