プライバシーマークとISMSは、異なる意味を持つ認証
ISMSはプライバシーマークが対象とする個人情報についても適用範囲と定めることができることから、ISMSだけを取得すればいいのではないかという印象があるかもしれません。また国際規格であることから、国内だけのプライバシーマークより「格が上」という感覚で受け止める人もいます。しかしその解釈は正しくありません。
ISMSとプライバシーマークはまったく別の意味をもつ認証だからです。
プライバシーマークは従業者および顧客の個人情報に的を絞り、全部署、全従業者を対象に個人情報を保護するための規格を厳格に定め、それから外れた運用は一切認められません。それによって高いレベルの情報漏えい防止の効果を担保しているのです。
対照的にISMSでは体制や仕組みづくりを重視し、運用の際の具体的なルールは比較的フレキシブルに決めることができてしまいます。
つまり個人情報を厳格に管理したいと考えるなら、プライバシーマークのほうが網羅的で、かつ細かいということができます。
取得すべきはプライバシーマークマークかISMSかと悩む場合は、自社の活動のなかで取り扱う情報資産や個人情報において、どのような分野が多いのかをピックアップしてみることです。そのうえで、どちらを選択すればより効果的かということを検討します。
よくBtoCはプライバシーマークで、BtoBならISMSがよいと解釈されがちですが、これも誤りです。私たちが2300社以上の認証取得に携わってきた見解としては、どちらもBtoBにこそ有効と断言できます。やはり認証を信頼のエビデンスとして、企業間取引、つまり法人契約でこそ効果を発揮するのです。
もちろんBtoCビジネスにおいても情報漏えい事故の防止や一般の消費者からの安心感につながるという意味では効果はあります。しかしBtoC事業者にとっても対消費者ではなく関連する企業や提携先との契約の場においての効果のほうが大きいのです。
どの部署でも業務に伴う個人情報の取得は常にあり、また、従業者の個人情報への配慮も必要です。プライバシーマークを取り、かつ必要な範囲でISMSも取得するという選択肢も場合によってはもちろんあります。
いずれにしても、プライバシーマークもISMSもどちらも認証取得がゴールではないということは、あらかじめしっかりと理解しておくことが大切です。継続して的確に運用・更新していくことこそが重要であり、それができてこそ認証取得の価値があるといえます。
仲手川 啓
株式会社ユーピーエフ 代表取締役
【関連記事】
■税務調査官「出身はどちらですか?」の真意…税務調査で“やり手の調査官”が聞いてくる「3つの質問」【税理士が解説】
■親が「総額3,000万円」を子・孫の口座にこっそり貯金…家族も知らないのに「税務署」には“バレる”ワケ【税理士が解説】
■恐ろしい…銀行が「100万円を定期預金しませんか」と言うワケ
■47都道府県「NHK受信料不払いランキング」東京・大阪・沖縄がワーストを爆走