ISO27001(ISMS)とプライバシーマークの違い|サイバーセキュリティ.com

ISO27001(ISMS)とプライバシーマークの違い



今回は、何かと比較されやすい2つの規格「ISO27001(ISMS)」と「プライバシーマーク」について考えてみたいと思います。

一般的なイメージとして、下記の様に誤解をされている方が多いと思います。

  • 個人情報を守るのがプライバシーマーク
  • 情報全般を守るのがISMS
  • プライバシーマークの発展形がISMS

これらの認識は全て間違いであり、2つの規格は“全く似て非なるもの”です。選択を間違えると後々不都合が出てくるケースもありますので、事前に見極めを行いましょう。

ISMSとプライバシーマークの違い

根本的な違いとして、それぞれの設立の経緯を見ていきましょう。

プライバシーマーク設立の経緯

img_117515_1

プライバシーマークは、「個人情報保護法」の意味を持ち合わせて導入されたものと考えて間違いありません。設立の経緯がそれを物語っています。

プライバシーマークは1998年に誕生しました。その翌年には、JSA(一般社団法人日本規格協会)により策定された日本工業規格である「JISQ15001」が制定され、プライバシーマークの準拠規格となります。

この1998年という時期がポイントです。

EUデータ保護指令による影響

1995年、windows95が発表され、インターネットの爆発的発展の萌芽が見られました。そして同年「EUデータ保護指令」というものが採択されます。これには、“個人データの保護体制が出来てない国やその国の企業には、EU内の個人情報を渡してはならない”といった内容が含まれており、そのタイムリミットは“採択後3年”とされていました。

これに対し、日本政府は慌ててしまいます。守秘義務に関する立法は、よく検討し質疑に耐えうるよう入念な準備を要します。1985年の「国家機密に係るスパイ行為の防止に関する法律案」(通称「スパイ防止法案」)が審議未了廃案となってしまった苦い経験もあります。

  • あと3年で個人情報保護法を策定するなんて無理だろう
  • 対応しなければ日本企業はEUでの業務が不可能となるかもしれない

この様な状況の中、経済産業省は1997年に「個人情報保護のガイドライン」を発表し、翌1998年(EUデータ保護指令より3年目)にプライバシーマーク制度を発足させたのです。

個人情報保護法の“替わり”

そもそもが、個人情報保護法の替わりに作られたものですから、個人情報保護法の要求事項であるJISQ15001を取り込むのは当たり前ということです。

注意点として、JISQ15001は法律ベースですので、個人情報を徹底的に守ることが目的となります。その為、認証取得組織の都合はあまり考えられていません。組織の大小で項目に違いはなく、中小企業であっても、体制を構築するには大きなコストが掛かるのです。この点で、本来「組織のベストプラクティスを探る“マネジメント”」の意義からして、プライバシーマークを「個人情報保護“マネジメント”システム」と呼ぶことに抵抗を感じる人は、私を含め多いのではないでしょうか。

またもう一つの注意点として、個人情報の“全て”が対象ですので、組織内で取り扱わない人はいません。必ず全社単位で体制を構築しなければならないということです。

ISMS設立の経緯

ISMSは、元々“コンピュータシステムの安全対策”から始まっています。当初は一部情報サービス業から始まりました。

技術の発展に伴い、コンピュータシステムをほぼ全ての業種が使用するようになり、イギリスのBS7799という規格を基に、ISO27001の原型が作られました。そして2005年、ISO化されます。

多様な対策を包括する

前述の通り、元が情報サービス業対象の仕組みから始まっていますので、技術的な対策に関する要求事項も“適用宣言書”として組み込まれています。

また、組織が求められる情報セキュリティ要求水準を、組織ごとに導き出しますから、大手・中小、業種によって対応を選択できますし、守るべき情報資産も組織に依って変わるので、組織の一部や複数組織に跨る認証も可能です。

個人情報保護の意味合いが強いプライバシーマークに比べ、情報資産を守るという多角的な対策が必要となる為、自由度が高いと言えます。

どちらを選択するべきか

前項までの内容を基に、それぞれの規格どちらを選択するべきか見てみましょう。

プライバシーマークが有効な企業

  • 大企業
  • BtoCで大勢の顧客情報を保管する必要のある企業
  • システム部門を内包化できる企業

ISMS(ISO27001)が有効な企業

  • 規模・業種を問わない
  • 顧客預かり情報等、守るべき情報が明確な企業
  • サプライチェーンでのセキュリティ取り組みが必要な企業

まとめ

それぞれ特色がありますから、自社に会った規格をフレームワークにするのが良いと思います。私の立場から一つだけ言えるとしたら、特に外部からの要求がない限り、中小企業であれば、プライバシーマークは避けた方が無難です。

プライバシーマークには、規模による対策レベルの検討をするプロセスがありません。そのため、審査では中小企業であっても大企業並みの対策を要求されることがあります。そうなると、人的にも金銭的にもかなりの負担になります。

プライバシーマークの規格を本当に使いこなせるのは、人的にも金銭的にも余裕のある一部の選ばれた企業です。このような事柄を踏まえ、ほぼ全ての企業に要求される「サイバーセキュリティ経営ガイドライン」はISO27001を基に作られているのですね。

次回は、ISMS構築の第一歩、「自社分析の考え方」を解説させていただきます。


SNSでもご購読できます。