お客様や取引先から自社のセキュリティ対策の取り組みについて問い合わせを受ける中小企業が多くなってきています。
これは委託先管理責任によるものが大きな要因と思われますが、その際にどのような回答をしたらよいのか悩まれている経営者は多いのではないでしょうか。
第三者認証を取得していることで、安心して仕事を任せられたり、受注の条件をクリアできることがあります。
プラスエスにもどちらの認証を取得すればよいかのご相談が多くなってきておりますので、今回のコラムではセキュリティの第三者認証制度であるISMSとプライバシーマークについてそれぞれの比較を紹介します。
セキュリティの第三者認証制度では、ISMSとプライバシーマークがメジャーです。
ISMSとは
ISMSとは、情報セキュリティマネジメントシステムの構築と運用をISMS認証機関(日本では16機関 *2023年1月現在)が認証する制度のことです。
保護対象は組織が保有する情報資産の全てであり、対象なる組織は事業部門単位です。
ISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)に基づいた認証で、審査基準が国際標準ということもあり、ISMSは世界的に通用する認証です。
また、IAF(国際認定フォーラム)に加盟している複数の国における相互認証の制度もあります。
3年ごとの更新(毎年の継続審査あり)となっています。
プライバシーマークとは
プライバシーマークとは、個人情報保護法を遵守するための仕組みの構築と運用をしていることをJIPDEC(一般財団法人日本情報経済社会推進協会)が認証する制度のことです。
取り扱う情報の対象は個人情報保護法で定められた個人情報であり、対象範囲となる組織は法人単位となるために組織内のある部署だけという限られた範囲では取得できません。
JIPDECが定める審査基準はJISQ 15001(個人情報保護マネジメントシステム-要求事項)に準拠しており、個人情報保護法に基づく個人情報取扱事業者の義務が全て明記されています。
個人情報保護法に基づく義務となりますので、プライバシーマークは日本国内を対象とした認証となっています。
2年ごとの更新となっています。
対象とする情報資産の違い
ISMS:個人情報を含めたすべての情報資産
プライバシーマーク:組織全体の個人情報
求められる事項の違い
ISMS:セキュリティのCIA(機密性・完全性・可用性)を維持するために組織に合わせたルールを作る
プライバシーマーク:手順や文書は規格で定められている
ほかにも違いはありますが、ビジネス形態により、BtoBならばISMS、BtoCならばプライバシーマークが有効とも言えます。
どちらの第三者認証を取得するのかは、自組織で取り扱っている情報やビジネスモデルによって判断されるのが良いでしょう。
結論:自社の取り組みを第三者に客観的にチェックしてもらおう!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun