取得するならプライバシーマーク?ISMS?比較してみました
プライバシーマークのセミナーに参加したとき、その参加者は当然プライバシーマーク
の初心者の方が大半です。
その初心者の方の間でよく話題にのぼるのが、「プライバシーマークとISMSはどちら
をとるべきか(どう違うのか)」という点です。
確かにどちらも法人の情報セキュリティーに関するものなので、迷われるケースはある
と思います。
そこで今回は「プライバシーマークとISMSの違い」についてみていきましょう。
プライバシーマークとISMSの違い(その1)作られた経緯の違い
まず、プライバシーマークはその名の通り個人のプライバシー(「情報主体」という
言い方をします)を保護するためのものです。近年の技術の発展によって、自分の
情報を誰にも知られることなく、隠して生きていくことはほぼ不可能です。さらに最近
ではフェイスブックやツイッターなどのソーシャルネットワークによってその傾向は増して
います。
このような状況にある現代において、自分の情報は自分でコントロールできる
べきである、というのがプライバシーについてのあるべき姿とされています。つまり
自分の情報が誰に・どのように使用されるのか、その選択を情報主体である個人
が選択できるようにしましょう、ということなのです。
そこで、社会の中で、特に経済において多くの役割を占める"企業"について個人
情報に対する向き合い方や運用の仕方などを定めたものがプライバシーマークの
規格であるJISQ15001:2006なのです。
そしてプライバシーマークは、日本独自のものです(ちなみに"JIS"のJはJapansene
からきています。Japanese Industrial Standardsを略して"JIS"とよんでいます)。
対して、ISMSは国際規格です。そしてその目的は組織が保有している情報資産を
どのような脅威があって、その脅威によってどのようなリスクがあるかを把握して、その
リスクを軽減する為にはどのような対策を行うべきなのか、ということを目的としています。
まとめますと、プライバシーマークはまず情報主体である個人の情報を保護することを
目的として企業に運用を要請するのにたいして、ISMSはまず組織の情報を守ることを
目的としており、その結果として個人の情報も守ることができるという考え方になります。
同じ情報セキュリティーに関する規格ですが、まず第一に何を保護することを目的として
いるのかという目線でみると、「プライバシーマーク→個人の情報」「ISMS→企業の情報」
ということになるのでココに違いがあります。
※ちなみにプライバシーマークについては「企業」、ISMSについては「組織」という言葉を
使いましたが、プライバシーマークは"法人単位"で取得する必要があるのに対して、
ISMSは部署単位でもとることができるので「組織」としています。
プライバシーマークとISMSの違い(その2)必要な作業の違い
プライバシーマークは個人情報保護法をもとに作られていると言えますが、
実際に必要となる作業はかなり具体的に定められています。例えばどのよ
うな経緯で個人情報を取得して、その後、利用・提供・保管・廃棄してい
くのか、など各工程を把握しなければなりません。また必要に応じて情報主
体である個人の方から同意を得たり、利用停止に対するルールを制定して
おく、といったことも必要になってきます。
つまり、プライバシーマークを取得するために作成するルールは企業ごとに
大きく違いはない、と言えます。ルールを制定するのに企業の任意性の程度
は低く、どこも同じことをしなければならない、ということですね。
それに対してISMSの運用ルールについては、組織ごとにかなり違います。
ISMSは個人の情報に限らず、"保有する情報全て"がその保護対象ですか
ら、当然組織ごとに違った情報をもっているため、任意性を高くする必要が
あります。ある程度自由にしないと、一律に"こうしなさい"といっても内容に
そぐわないケースがでてくるということですね。
プライバシーマークとISMSの違い(その3)取得メリットの違い
情報セキュリティーに関する認証を受けることのメリットとして、取引先
とのお付き合いの面があります。この点については多くの企業がプライバ
シーマークもしくはISMSを取得していることで委託先として適切、との判
断をなされるケースが多いようです。そのため取引先とのお付き合い、と
いう意味においては大きな違いはないといえます。
※まれに企業によっては、プライバシーマークを重視していたり、ISMSを
重視していたりします。念のため現状お付き合いのある取引会社・将来
お付き合いの可能性のある会社の考え方は把握しておいた方がいいか
もしれません。
そして対消費者(BtoC)という意味においては、プライバシーマークの方が
知られているケースが多いようですね。会社の事業が(BtoC)メインであれば
プライバシーマークの方が消費者に安心感をもってもらうことができるかも
しれません。
プライバシーマークとISMSの違い(その4)費用(コスト)そして難易度の違い
次に取得や維持の違いについてみていきましょう。
取得の費用について、プライバシーマークは事業規模に応じて大体
30万円〜120万。ISMSは大体100万円〜300万円となってい
ます。
そして更新費用についてはプライバシーマークは2年おきに22万円〜
90万円。ISMSは毎年維持審査、そして3年おきに更新審査があり、
維持審査は大体20万円〜50万円、更新審査は大体50万円〜
150万円ぐらいのコストとなります。
このように審査の費用だけ見てみると、プライバシーマークの方が低い
ためによく「安いからプライバシーマーク」という話を耳にしますが、企業
によってはそうではないケースがあるので気をつけた方がいいかもしれま
せん。
維持費用によってはプライバシーマークの方が安いと言えないケースも
あるからです。プライバシーマークは全社的に取得する必要があるため、
各地に拠点がある場合はそれらもすべてセキュリティー対策を実施する
必要があります。対してISMSは組織単位での取得が可能なため、必
要な1つの支店の1つの部署のみ、といったこともできます。こういった場
合にはそのセキュリティー対策にかける費用によってプライバシーマークの
方が結果的に高くついた、という話もあるようです。
同じ理由から取得の難易度についても一律に判断することはできません。
しかし、最近ではプライバシーマークもISMSもそう違いはないといった意見
の方が多いようです。
プライバシーマークとISMSの違い(まとめ)どちらを取得するべきか?
今回はプライバシーマークとISMSの違いについてご紹介しました。
一般的な世間の意見と異なるところもあったかもしれません。しかし、
プライバシーマークとISMSのどちらを取得しようか、と検討する際は
「一般的にこうだから」と決めてしまうことはあまりおすすめしません。
認証規格は一度取得したら終わりではなく、維持していかなければ
なりません。今後長い付き合いとなっていくものですから、初めの取得
の段階では、どちらがあなたの会社にあっているのか、少し時間をかけ
て検討してみた方がいいと思います。
判断基準で迷ってしまった場合は専門家に相談しながらすすめてい
くのもいいでしょう。私はいまプライバシーマークやISMSについて専門コン
サルタントをしているわけではありませんが、ご相談いただければご意見
などはお伝えできるかもしれません。気軽にご連絡ください。
100以上のセミナー・研究会に参加した経験から オススメできるPマークセミナーをランキング形式で まとめました。
>>>こちら をクリックしてご確認ください。
プライバシーマークとISMSの比較(プライバシーマークセミナー体験記)関連ページ
- プライバシーマークってなに?
- 他社の取得のきっかけは?
- 個人情報保護マネジメントシステム(PMS)とは?
- 1つの部署だけで取得したい!
- プライバシーマークセミナーの無料と有料の違い
- 自力で取得!コンサルを使わずにとれる?
- プライバシーマークは必要なのか
- プライバシーマークのメリット・デメリット
- プライバシーマークと個人情報保護法の違いと関係性
- プライバシーマークの社内教育は何をすればいいのか
- プライバシーマーク取得に助成金がでる?
- プライバシーマーク業界別取得数一覧
- WEBサービスを運営している個人事業主にプライバシーマークは必要か?
- 短期で取得!「早くプライバシーマークをとれ」と言われたら
- プライバシーマークの取得費用は総額いくらかかるのか
- プライバシーマーク審査を受けた人から聞いた感想-その1-