ISMSのススメ – 必須項目の違い編

情報セキュリティ体制構築に対する第三者認証という、似た役割を持つ「ISMS(ISO27001)」と「プライバシーマーク」※1 ですが、取得の際にどちらを取るのか迷うという方も多くいます。
今回は、取得の際の参考の一つとして、プライバシーマークとISMSで必須項目の違い※2 を紹介します。

※1 以下、「プライバシーマーク」を「Pマーク」と表記します。
※2 本コンテンツでは、ISMSでは任意ですが、Pマークでは必須項目となるものを中心にピックアップしています。

PマークとISMSでの必須項目の違い

申請作業

項目 Pマーク ISMS
申請作業 ・申請書の作成
・認定機関入会申込書
・申請用書類の印刷
・Pマーク資料の印刷
・Pマーク資料のファイリング
審査機関への審査申込

三者認証を取得する際、専門の認定機関に審査を依頼する必要があります。ISMSとプライバシーマークの審査依頼の際の主な違いに、書類の提出・送付書類があります。

表の通り、Pマークは紙で出力をし、提出を求められるものがほとんどです。
しかし、ISMSでは、事前の資料の提出は求められないケースが多いです。審査機関や審査員にもよりますが、実際の審査においても、社内規程を紙に印刷する必要は無く、パソコンのモニタやディスプレイで審査員に見せるケースもめずらしくありません。

委託先評価

項目 Pマーク ISMS
委託先評価 ・委託先一覧表の作成
・アンケートの送付
(個人情報に関する要件を盛り込んだ秘密保持契約を締結)
組織が必要と決めた方法による管理を実施

ISMS、Pマークいずれの認証も委託先の管理評価が必要です。Pマークは、自社で定めた要件ではなく、「個人情報を適切に管理しているか」が焦点となります。
秘密保持契約書を締結していたとしても、Pマークが求める内容を含まない場合、契約の取り直しになることもあります。

対してISMSは、自社で決定した一定の基準を満たせば委託先として認められます。ISMSでは、委託先へのアンケートの実施や委託先一覧表の作成は、必須ではありません。委託先にお渡ししている情報資産の重要度を鑑みて、どのような管理方法が適切なのか、ISMSの取り組みの中で決定していくことが可能です。

規格が求める水準を盛り込むべきか、自社で基準を決めて、委託先の評価をするのかは、自社で取扱う個人情報の種類や量を鑑みて判断すると良いかもしれません。

パスワードの定期更新

項目 Pマーク ISMS
パスワードの定期更新 8文字以上で、半年に1回など、定期的な更新が必要 組織が必要と決めた方法による管理を実施

Pマークでは8文字以上で半年に1回など、定期的にパスワード変更をすることが要求されています。パスワードは、アルファベットの大文字小文字及び数字などが混在されたものを設定する必要があります。

対してISMSでは、パスワードの定期更新は要求されていません。もちろん、会社として「○ヶ月更新」というルールを作成することは可能です。
しかし、認証取得のために必ず定期更新のルールを含める必要はありません。

パスワードの定期更新に関する効力は諸説ありますが、それらの意見を踏まえたルールを策定しやすいのは、ISMSといえます。

入退室・来客管理

項目 Pマーク ISMS
入退室・来客管理 ・入退室管理表の作成
・入退室者名と日時の取得
・来客記録の作成
組織が必要と決めた方法による管理を実施

Pマークでは、朝何時に誰が最初に入室して、夜何時に誰が退室したのかという
「入退室記録」と、外部の第三者がオフィスの執務スペースに入室する際の記録である「来客記録」を作成することが必要です。

対してISMSでは、具体的にどのような入退室管理を行なう必要があるか、という具体的な記録の作成までは求められていません。「セキュリティを保つべきエリアがあれば、
そのエリアでは、適切な入退室管理を行いましょう」という事が求められています。
その為、例えば「重要な情報が保管されているサーバエリアのみ、入退室記録を取ろう」であるとか、「重要な資料はすべて鍵付きキャビネットに保管しているので、現段階では入退室記録を取る必要はないだろう」などの選択・判断をすること可能です。

より自社の構造・入退室の頻度などを考慮してルールを策定できるのは、ISMSであるといえます。

採用時面接の同意

項目 Pマーク ISMS
採用時面接の同意 採用面接時に採用応募者から取得する際、必ず個人情報の取扱いの同意を得る 個人情報保護法を始めとした、法令やガイドラインに遵守する必要がある

採用面接時、Pマークでは、「個人情報の利用目的」「廃棄方法」を同意書に盛り込み、同意のサインを取得する事が義務付けられています

対してISMSでは、採用面接時に同意を得ることは必須ではありません
ただし、採用選考時など、本人から個人情報を直接取得する場合には、「取得する個人情報の利用目的を本人に明示しなければならない」と個人情報保護法で規定されています。法令やガイドラインは遵守する必要があるので、法律に従い、採用選考時には採用応募者の個人情報の利用目的を明示しましょう。

紙媒体の管理

項目 Pマーク ISMS
紙媒体の管理 施錠管理 組織が必要と決めた方法による管理を実施

Pマークでは、個人情報が記載された履歴書や職歴書などは、鍵のかけられるキャビネットや引出しに施錠保管することが義務付けられています

対してISMSでは、規格で決められた条件を満たす場所にしまわなければならないという義務はありません。セキュリティが保たれるレベルで、自社に合った管理方法での管理を検討することが可能です。

セキュリティが最低限保たれる場所であれば、鍵付きのキャビネットの新規購入など、
設備投資にコストが発生することはありません。

機器の管理

項目 Pマーク ISMS
機器の管理 ノートPCのワイヤーロックまたは施錠管理 組織が必要と決めた方法による管理を実施

Pマークでは、現状の事業者内でノートPCを使用している場合は、何らかの盗難防止策を規定する必要があります。ルールの策定時に、主に採用される方法としては、帰宅時には「施錠できる場所に保管する」や、「ワイヤーロックを実施する」などの盗難防止策を実施しましょう。

ISMSでも、同様の盗難防止策が採用されることが多いです。組織が必要と決めた盗難防止策であればかまいませんが、多くはPマークと同様に、施錠管理やワイヤーロックなどの盗難防止策を行っています。

個人情報の開示等請求の対応フロー

項目 Pマーク ISMS
個人情報の開示等請求の対応フロー ・開示請求の際の対応方法の作成
・利用目的の通知があった際の対応方法の作成
・情報の訂正・追加・削除要請があった際の手順の作成
・利用または提供の拒否があった際の対応方法の作成
個人情報保護法を始めとした、法令やガイドラインに遵守する必要がある

Pマーク特有のルールです。
実際に発生する事は少ないですが、Pマークの規格で求められているため、対応手順の確立が必須です。
下記の点についての手順を考え、ルールブックに記載する必要があります。

  • 個人情報の開示
    (私の個人情報を持っていますか?)
  • 利用目的の通知
    (どんな目的で私の個人情報を持っていますか?)
  • 個人情報の訂正・追加・削除
    (個人情報に変更があったので、訂正・追加・削除してください)
  • 個人情報の利用又は提供の拒否権
    (私の個人情報を今後使わないでください)

対してISMSでは、個人情報の開示等請求に対応する手順を決めておく必要はありません
ただし、個人情報保護法上で「開示等請求があった場合は対応しなければならない」と規定されているため、
開示等請求があった場合はISMS取得事業者であっても対応する必要があります。

プライバシーマークとISMSでの必須項目の違い

以上、プライバシーマークとISMSで必須項目の違いの一部をピックアップしました。
Pマークでは規格で求められる一定の水準を越え、必須の対応が求められるものが多くあります。
しかし、ISMSでは自社の目指すセキュリティレベルに合わせた管理体制のルール策定が可能です。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:0120-991-481(受付時間)平日9:00~18:00

ページの先頭へ戻る