2015年10月26日情報セキュリティ
関連キーワード:

【守りたいの企業情報?個人情報?】ISMSとプライバシーマークの違いとメリット

23

企業におけるセキュリティマネジメントの第三者認証制度に、ISMS(Information Security Management System)やプライバシーマーク制度があります。最近では、情報漏洩に関する問題がニュースで頻繁に取り上げられるようになり、情報セキュリティを向上させるためにも、多くの企業においてこれらの認証制度を導入するようになってきました。そんなISMSとプライバシーマーク制度ですが、両者の違いについてご存知でしょうか? ここでは、両者の特徴や違いについて紹介していきます。

おすすめサービスはこちら

新しい「プライバシーマーク指針」の徹底解説セミナー~「どう対応する?」の疑問に答えます~

ISMSとは

shutterstock_122234134

ISMSとは、「情報セキュリティマネジメントシステム」と呼ばれる制度のこと。情報漏洩と情報セキュリティに関するトラブルを防ぐために、企業が情報セキュリティシステムを作り、継続的に運用していくことを目的としています。

近年では企業のパソコンへの不正アクセス、ウイルス感染、個人情報の取り扱いの甘さなどから、情報が漏洩してしまうトラブルも多く発生しているため、ISMS制度の認証を取得する企業も増えています。

情報漏洩を防止するためには、情報を扱うための基本的なルール作りを計画し、実行、評価、改善などを一貫して行い、トータル的なリスクマネジメントのシステム作りを行わなければなりません。

ISMS制度の認証を取得することで、情報セキュリティ管理体制の整備だけでなく、お客様や取引先の信頼の向上といった対外的な効果も発揮できるでしょう。

プライバシーマーク制度とは

shutterstock_295587614

プライバシーマーク制度とは、個人の情報を安全に管理し、保護していることを認証する制度のことを言います。個人情報を守るために、企業全体で個人情報の取り扱いに関するルールを決め、適切に運用し、現行のルールで問題があればルール改変などを継続的に行わなければなりません。

個人情報流出に関する事件が報道される中、自社における個人情報の管理が適切にできていることをアピールするため、このマークを取得する企業も多くなってきました。個人情報を適切に管理する体制が整っていると第三者機関にて認証されることで「プライバシーマーク」の使用許可されます。このマークが付与されている企業であるかという点が、お客様にとって安心して個人情報を任せられるかどうか判断する目安になるのです。

プライバシーマークに関してよくある誤解

shutterstock_301073480

上述したプライバシーマークは、多くの人が一度は耳にしたことがある言葉ですが、中には個人情報の安全対策がメインだと考えている人もいるかもしれません。しかし、もともとプライバシーマークは、個人の権利を保ちながら、情報を収集したり利用したりする仕組みを運用するために生まれたものです。

個人情報の安全保護をメインに行えば、プライバシーマークが取得できるわけではなく、例えば利用目的の合意など、情報元のさまざまな権利を尊重した上でルールを作り、運用していかなければならないのです。プライバシーマークは、情報流出を防ぐことだけが目的の制度ではないということをご理解ください。

2つの認証取得によるメリットの違いは

shutterstock_180805151

前半で、ISMSとプライバシーマーク制度について説明をしました。では、この2つの認証を取得することには、それぞれどんな違いがあるのでしょうか?

ISMSは、企業全体の情報資産を安全に運用するための制度です。もちろん、その中には個人情報も含まれますが、それは大きなデータの中の1つであって、ほかにも重要書類や設計図など、企業にとって大切なデータなども含まれます。一方プライバシーマークは、個人情報に特化した認定制度だと言えます。

そのため、個人と直接取引があり膨大な顧客データを持っていて、それらを安全に管理、運用したいのであればプライバシーマークの取得が望ましいと言えるでしょう。プライバシーマークがあれば、お客さんは安心して情報を提供することができるはずです。

一方、企業間での取引をメインにしている場合は、リスクマネジメントの管理がしっかりしていることをアピールできるISMSを取得したほうが望ましいと言えます。相手企業が情報セキュリティの管理体制に信頼をおいてくれれば、安心して取引を行ってくれるのではないでしょうか(上述した活用例はあくまでも一般的な例なので、状況に合わせて2つの認証制度を使い分けてください)。

このように、2つの認証制度は「個人情報を保護する」という側面以外では、網羅している範囲が異なりますので、自社がどのような企業体質かをよく見極めた上で、認証取得をするようにしましょう。

これら2つの認証制度は一定のレベルでデータの保護管理をしっかり行えるほか、外部に対しても自社の情報セキュリティの管理体制の高さといった強みをアピールできるチャンスでもあります。これを機会に、ISMSプライバシーマーク制度の導入を検討してみてはいかがでしょうか。

おすすめサービスはこちら

新しい「プライバシーマーク指針」の徹底解説セミナー~「どう対応する?」の疑問に答えます~

カテゴリー:情報セキュリティ
関連キーワード:

サービス一覧