近年では自社でしっかりルールをつくって運用するだけでなく、認証という「第三者のお墨付き」もあったほうが望ましいと考える企業が増えています。その際によく検討されるのが「Pマーク」と「ISMS」のどちらを取得するのかということです。加えて、第三者認証を維持する場合は情報セキュリティの運用を継続しなければいけないので、必然的に情報セキュリティ活動を維持していくことにもなります。※本記事は『そのセキュリティ対策が会社を潰す』(幻冬舎MC)から抜粋・再編集したものです。

第三者による施策の認証「Pマーク」「ISMS」は必要?

PマークとISMSはいずれも情報の取り扱いについて一定の基準をクリアしていることを示す規格で、筆者のところに「情報セキュリティ対策をしたい」と相談に来る人のほとんどは、いずれかの認証を受けたいというのがいちばんの目的です。

 

しかし言葉は聞いたことがあるという人は多くても、その内容や違いを正しく理解している人はあまり多くありません。簡単にいえば両者には次のような違いがあります。

 

●Pマーク

企業内の個人情報および特定個人情報(マイナンバー)の取り扱いを対象にしたJIS規格(日本産業規格)。日本独自の規格に基づくものなので、国内でのアピール力はあるが世界的なアピール力は乏しい。企業全体が対象となるため部分的な除外ができない。更新は2年ごと。

 

●ISMS(Information Security Management System)

情報セキュリティ(IS)とマネジメントシステム(MS)のことで、組織の情報セキュリティを管理するための仕組みを指す。対象範囲内のすべての情報資産の取り扱いを対象にした規格(国際標準規格国際電気標準会議のISO/IECおよび日本産業規格JIS)。事業所や部門など個別の単位でも取得可能。3年ごとの更新に加え、毎年の継続審査がある。

 

少し乱暴にいってしまうと「Pマーク」は個人情報に特化したものですが、個人情報保護は「ISMS」にも含まれています。そのため筆者は、クライアントが明確な理由を持っていない場合、基本的には「ISMS」の取得をおすすめしています。

 

また、すべての企業がいずれかの認証を取得する必要はないとも考えています。特に大量の個人情報を取り扱わないのであれば、「Pマーク」の取得はほぼ必要はありません。認定を受けたことによって、かえってやらなければいけないことが増えてしまう可能性があるからです。

 

※2020年2月現在のもの
[図表1]ISMSとPマークの違い ※2020年2月現在のもの

「情報セキュリティ基本方針(ポリシー)」

前述の二つの規格の認証を取得するためには、どのような情報資産をどのような脅威から、どのようにして守るのかといった対策の概要をまとめた「情報セキュリティ基本方針(ポリシー)」という文書が必要です。

 

基本方針と聞くと厳密なルールのように思えますが、情報を取り扱ううえでの心構えなので、基本的にはどこの企業も同じような内容でかまいません。たとえば、筆者がコンサルティングを担当する企業の情報セキュリティ方針は、次の内容でおおむね統一しています。

 

<情報セキュリティ方針>

①情報資産を保護するために、情報セキュリティポリシーを策定し、これに従って業務を行うとともに、情報セキュリティに関連する法令、規制その他の規範、および、お客さまとの契約事項を遵守いたします。

 

②情報資産に対して存在する漏えい、き損、滅失等のリスクを分析、評価するための基準を明確にし、体系的なリスクアセスメント方法を確立するとともに、定期的にリスクアセスメントを実施いたします。また、その結果に基づき、必要かつ適切なセキュリティ対策を実施いたします。

 

③担当役員を中心とした情報セキュリティ体制を確立するとともに、情報セキュリティに関する権限および責任を明確にいたします。また、すべての従業員が、情報セキュリティの重要性を認識し、情報資産の適切な取り扱いを確実にするために、定期的に教育、訓練および啓発を行います。

 

④情報セキュリティポリシーの遵守状況および情報資産の取り扱いについて、定期的に点検および監査を行い、発見された不備や改善項目については、速やかに是正処置を講じます。情報セキュリティ上のイベントやインシデントの発生に対する適切な処置を講じるとともに、万一それらが発生した場合に際して、あらかじめ、被害を最小限にとどめるための対応手順を確立します。有事の際には、速やかに対応するとともに、適切な是正処置を講じます。また、特に業務中断に関わるようなインシデントについては、その管理の枠組みを確立し、定期的に対応、復旧試験および見直しを行うことにより、当社の事業継続を確実にいたします。

 

⑤基本理念を実現するための目標を定めた情報セキュリティマネジメントシステムを確立し、これを実行するとともに、継続的に見直し、改善を行います。

 

大切なのは、自社でオリジナルの情報セキュリティ方針をつくり込むことではなく、ここで紹介したような方針の内容を理解することです。どのような心構えで情報を取り扱い、適切な処理、対応をしていくかを自社内で共有することで、人的ミスの発生リスクを減らすことができます。

 

<ポイント>

情報セキュリティ方針では「つくること」ではなく、理解が大事。

 

 

 

幸松 哲也

LRM株式会社 代表取締役 CEO

そのセキュリティ対策が会社を潰す

そのセキュリティ対策が会社を潰す

幸松 哲也

幻冬舎メディアコンサルティング

毎年相次ぐ大手企業の情報漏えい事件。その原因の多くは「間違った情報セキュリティ対策」にあります。セキュリティ対策ソフトの導入や情報の持ち出し規定の強化など、一見対策を行っているように見えても、実際には内容が更新…

人気記事ランキング

  • デイリー
  • 週間
  • 月間

メルマガ会員登録者の
ご案内

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

メルマガ登録
会員向けセミナーの一覧