はじめまして株式会社TORICO情報システム部の四斗邊です。
いきなりですが、PMSとISMSについてお話したいと思います。
なぜこの話をしようと思ったかといいますと、株式会社TORICOでは、2021年1月にPマーク認証を取得、2021年2月にISMS認証(別名ISO/IEC 27001)を取得したからです!
この機会に、TORICOを知っていただこうと思い技術ブログとして若干逸れる内容ですが情報系のブログ記事としてPMS及びPマークとISMSに関する内容を前編と後編2回に分けてお話ししたいと思います。
まず、前編としてPMSおよびPマークとISMSの違いについて、後編はこれら認証取得時のコンサルの選ぶポイントをお伝えできればと思います。
それでは、前編スタート
1 PMSとPマークについて
さっそくですがPMSとは「Personal information protection Management Systems」の略で個人情報保護マネジメントとも呼ばれています。
PMSは、個人情報保護を目的とした継続的な組織の設立や運営管理方法の制定と言った仕組みのことを指し「システム」と書かれていますが機械やプログラミングで構築したソフトウェアなのではありません。
具体的な仕組みとして継続的な個人情報管理台帳の作成と更新、漏洩リスクへの対策、漏洩時の対応など、実際に運用したPMSを評価する会議体を実施するなどがあげられます。
PMSによる個人情報の適切な取り扱いができるか審査を経て、JIS Q 15001規格に定義された個人情報保護マネジメントを実施する適合事業者と認められるとPマーク認証を取得できます。
ただ、Pマーク認証を取得していないからと言って企業には個人情報保護マネジメントが無いということでなく、審査を得ていない場合や、JIS Q 15001規格に沿っていない独自の個人情報保護マネジメントの構築している場合が企業には考えられます。
2 ISMSとISO27001について
ISMSとは「information security management system」の略で情報セキュリティマネジメントシステムとも呼ばれています。
ISMSは企業が保有する情報資産を保護する目的のため継続的な組織の設立や運営、管理方法の制定など仕組みを意味します。PMS同様、「システム」と書かれていますが機械やプログラミングで構築したソフトウェアなのではありません。
具体的な仕組みとして、継続的な情報資産の作成と更新、情報を「機密性」「完全性」「可用性」ごとにリスクを特定(リスクアセスメント)し、リスクに合わせて適切に管理改善していくことです。
ちなみにISO27001は、ISMSの国際規格を指します。
別名ISO/IEC 27001、JISQ27001とも呼ばれています。
Pマーク同様、ISMS構築後、審査を得て適合事業者と認められるとISO27001認証を取得できます。
ちなみに、PMSとISMSは個人情報の部分において重複します。
ISMSは全ての企業情報を保護対象としているため上位互換のように表現されますが、あくまで企業の情報資産の一部として個人情報を扱うISMSに対して、個人情報保護を重要視している点で差があります。具体的としては、PMS(JIS Q 15001)では個人情報の目的や取得方法の特定や個人情報の開示、個人情報を第三者へ提供する場合のルールなど規格内に盛り込まれています(問い合わせページとかでやたら同意を求めてくるこれです。)
また、Pマーク認証は法人単位、ISO27001認証は部門やセクション単位で取得できるようです。
3 メリットについて
TORICOではPマーク認証とISO27001認証を取得する過程で既にメリットはありました。
取得に伴い実施したリスクアセスメントや個人情報の洗い出しによって日常の業務において到底意識しない部分に目を向ける機会になったからです。また、それまで関わりのなかった部署に対しても協力していただく機会もあったので全社的に危機意識を培うチャンスとなったと思います。
またリスクを未然に防ぐためにPMSとISMS構築が一役買いました。
これまで個人情報や企業の情報など保管期間を明確に決めずに保存していたり、バックアップを取らなかった部分については改めるきっかけになったと思います。
本来のメリットとしては、公的機関への入札時などPマーク認証とISO27001認証を取得が条件になっているようで、入札時のメリットがあるようです。
またPマークやISO27001認証を取得している企業から取引の際、信用の目安になり、比較的に取引しやすいなどもメリットに挙げられます。
デメリットは、業務フローが増えたことと、書式などのフォーマットが増える点でしょうか。
以上、PMSとISMSの違いについてお話ししました。
後編に続きます。
参考文献
システム管理者の会
・第4回 プライバシーマーク(Pマーク)と他の認証制度の統合
帝国データバンクネットコミュニケーション
・ismsとiso27001は何が違うのですか?
WORKーPJ
