■IT化や個人情報保護の強化が求められる時代の企業の課題
企業では業種問わず、IT化が普及、拡大しています。
誰もが気軽に情報にアクセスし、活用ができるようになってきました。
IT化の進歩とともに、多くのデータが収集、分析、活用される時代に対応するため、個人情報保護法が制定され、企業をはじめ、個人情報を扱うすべての事業者に法令遵守が求められるようになりました。
いかにセキュリティ対策を採っても、故意または過失で個人情報が流出してしまったり、悪質な第三者によってハッキングされたり、盗み取られるケースも少なくありません。
従業員による情報漏えいや個人データの転売といったトラブルも相次いでいます。
そのたびに法律事務所に相談をする企業や弁護士の助けを借りてトラブルの解決や謝罪会見、賠償なども問題解決を行う企業も増えています。
■信頼を得るために
情報漏えいなどの事件などが起こるたびに、取引先企業や一般個人の方から企業に寄せられる信頼が低下していきます。
トラブルが起きた企業にとどまらず、あらゆる企業に向けて本当に大丈夫なのかという疑念が湧き、個人情報を渡したら漏えいされることや転売されるのではと、個人情報を提供することを拒む人も増えます。
企業が事業や業務を営むうえで、顧客のデータなどはとても重要なビジネスツールとなり、欠かせない情報です。
その提供を拒まれ、得られなくなれば、企業の事業運営にも大きな影響を及ぼしかねません。
そこで、企業としては顧客などに安心してもらい、スムーズに個人情報の提供が受けられるよう、自社が個人情報を保護するためのセキュリティ対策に優れた企業であることをアピールしようとします。
その指標となるのが、ISMSやPマークという規格の取得です。
もっとも、企業法務を行っていく中で、いったいどちらの認証を得たほうが良いのか、いずれも取得すべきか、先にどちらを取得すべきかなど悩まれる企業も多いのではないでしょうか。
■違いを理解して取得を
認証を得るためには、一定の条件を満たし、形式面だけでなく、実際に情報セキュリティの対策を強化したうえで、申請を行わなくてはなりません。
また、一度取得して終わりではなく、定期的な更新も必要です。
企業の法務部門やIT部門などにとっても業務負担も増え、手間もかかる手続きであるため、個人情報保護に熱心である企業をアピールする目的の達成はもちろん、業務効率なども踏まえて検討することが大切です。
まずは、顧問弁護士などの専門家にも相談を行い、自社に合った認証の取得と、そのために何をすべきかをしっかりと検討しましょう。
一般的な棲み分けとしては個人情報は社内利用がメインで、社外との間では技術情報や機密情報のやり取りが多いケースはISMSを優先し、事業活動において個人情報が重要となる場合にはPマークを優先的に取得するのがおすすめです。
■条件などの違い
では、それぞれの違いや特徴を確認しておきましょう。
ISMSはISO27001とも呼ばれ、適用基準は国際標準規格 ISO/IEC27001:2013と日本工業規格 JISQ27001:2014です。
対象領域は個人情報だけにとどまらず、技術情報や会社の機密情報など情報資産全般に及びます。
取得単位は会社全体ではなく、事業部・部・課単位、プロジェクト単位など特に制限はありません。
特定の情報を頻繁に扱う事業や新規プロジェクトに合わせて取得することも可能です。
求められる条件として、情報資産の重要性、リスクに応じた適切な情報セキュリティ対策を講じる必要があり、情報の機密性・完全性・可用性を維持しなくてはなりません。
なお、個人情報については個人情報保護法および契約上の要求事項の遵守も必須です。
セキュリティ対策として114項目の詳細管理策が求められます。
また、3年ごとの更新に加えて、毎年の継続審査を受けなくてはなりません。
Pマークはプライバシーマークとも呼ばれ、適用基準は日本工業規格JISQ15001:2006です。
対象領域は個人情報に限定されます。
取得単位は法人単位で、全社的に対応しなくてはなりません。
求められることは個人情報の取得や利用、共同利用、委託、提供、安全管理における適切な個人情報の取り扱いとはじめ、個人からの開示等要求や苦情などに対応できる体制の構築です。
セキュリティ対策は合理的な安全対策のレベルが求められています。
更新は2年ごとに必要です。
■両者の共通点や留意事項
個人情報保護対策として多くの企業が、Pマークを取得したいと動いています。
この点、Pマークに求められる安全管理策は、ISMS認証基準のセキュリティ管理策に含有されるレベルとなります。
ISMSは包括的な情報セキュリティマネジメント体制が構築でき、あらゆる情報漏えいなどのリスクに適しています。
いずれの取得を優先すべきか迷った際には、企業が扱う情報の種類やBtoBかBtoCかの業態の違い、取引先からの要請や一般顧客の反応などを、総合的に検討して経営判断することが必要です。
まずは個人情報漏えい対策に特化したプライバシーマークを取得し、将来的にISO27001への切り替えを目指すことで、効率的で実効的なセキュリティ対策につながります。