プライバシーマークとISMSの違いについて

未分類
この記事は約3分で読めます。

みなさんこんにちは。
圧着DM仕事人の松田です。

『プライバシーマークもISMSも情報セキュリティに関する認証のもので、名前が違うけど一緒なものじゃないの。』
と思っている方も多いと思います。

実は、目的や規格・適用範囲が異なる全く別なものです。
そこで今回は、プライバシーマークとISMSの違いついて簡単に説明します。

プライバシーマークとISMSの違いについて

まず1番の違いは、
プライバシーマークは、日本だけの規格のため日本国内でしか適用されません。
ISMSは、国際標準規格ISO27001をもとに運用が行われますので、グローバルな認証と言えます。
世界基準での情報セキュリティを承認されるため、国際的なやり取りを必要とする企業はISMSを取得されるケースが多いです。

プライバシーマークについて

プライバシーマークは、
個人情報保護法に規定された義務を遵守するために必要な仕組みを適切に構築・運用していることを対外的にマークによって示す制度です
そのため保護対象となる情報は、個人情報になります。
また認証の範囲は、会社全体(全部署・全従業員)が該当します。

審査に関しては、
プライバシーマークは企業内の全ての個人情報のとりあつかいが審査の対象となります。
保有する個人情報を保護することを要求していますので、手順や作成する文書などが規格で定められており、枠組みから外れた場合は認証取得することができません
また取得後は、維持しようとなると2年ごとに更新審査を受けることが必要となります。

ISMSについて

ISMSは、
国際規格に基づき、組織が有する多種多様な情報のセキュリティ確保の仕組みを適切に構築・運用していることを認証する制度です。
そのため保護対象となる情報は、組織が有するすべての情報資産となります。
また対象となる組織は、事業者がセキュリティリスクに基づいて必要と判断した事業部など、範囲を設定することができます。
例)●●部だけ、●●工場など
ただしその場合、認証の適用範囲外ではISMS認証を使用することはできません。

審査に関しては、
ISMSは、情報資産を保護するための「仕組み」や「体制」づくりを要求しています。
決まった手順はなく、企業内の情報資産に対して114項目の審査ポイントを元に自社の体制に合わせたルールや文書を作成することができます。

認定の期間は3年間ですが、それ以外に維持審査と呼ばれるものが毎年あります。
また指摘事項があれば都度対応する必要があります。

最後に

プライバシーマークとISMSは同じような情報セキュリティに関する認証に見えて、違いも多くあります。

事業において情報セキュリティマネジメントは欠かせない活動ではありますが、単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS」と、簡単に決定するのはおすすめできません。

企業のビジネススタイルや規模、事業展開の方向性によってどちらの取得がいいのか、どちらも取得すべきかは異なってきますので、どちらの規格の取得・運用が有効であるかを判断しましょう。

最後までお読みいただきありがとうございます。
少しでも参考になればと思います。

コメント

タイトルとURLをコピーしました