ISMSとプライバシーマーク（PMS）とは？概要と相違点、どちらを取得するべきか

「ISMS」、そして「プライバシーマーク」。企業に務める方であれば、単語は耳にしたことのある方が大半かと思います。しかし、この2つが実際にどのようなものか、また、具体的に何が違うのかは説明できますか。

企業では、自社社員やお客様の個人情報、自社の営業情報、財務情報、経営計画情報、製品開発情報など、様々な情報（情報資産）を取り扱っています。このような企業で取り扱う情報資産のセキュリティを適切に管理するためのシステムとして、情報セキュリティマネジメントシステム（ISMS）と個人情報保護マネジメントシステム（PMS）があります。また、これらに従って情報資産を管理していることを外部機関が証明するための認証制度があり、特にPMSの認証制度として「プライバシーマーク（Pマーク）」があります。

ちなみに「システム」という言葉を使っていますが、ここでの「システム」はいわゆる販売管理システムや人事給与システムなどのコンピューターシステムではなく、運用や作成文書などを含め、情報資産を管理するために企業で構築する仕組み全体を「システム」と呼んでいます。

ISMSとPMS、どちらも情報資産管理に関する仕組みであることは変わりませんが、保護するべき対象となる情報の範囲、認証を受ける範囲など、様々な面で違いがあります。したがって、自社にとってどちらの認証がより有効かは異なります。

本稿では、それぞれの概要や相違点、どちらの認証を取得するべきかを判断するための基準について、基本的な部分を解説します。

ISMSとは

「情報の機密性、完全性、可用性の維持」を目的として構築する情報保護管理の仕組みです。「機密性、完全性、可用性」は情報セキュリティの三大要素です。それぞれ、機密性は決められた人だけが対象の情報（データ）にアクセスできること、完全性は情報（データ）が全て揃っていて欠損や不整合がないこと、可用性はシステムなどが継続して使用できることを指します。

国際標準規格である ISO/IEC27001を訳した規格JISQ27001によってISMS構築と運用の方法が定められています。各社のISMSが適切に構築・運用されていることを証明する制度としてISMS適合性評価制度があります。

PMSとは

「適切な個人情報の取り扱い」を目的として構築する情報保護管理の仕組みです。個人情報保護法に基づいた規格であるJISQ15001によってPMS構築と運用の方法が定められています。各社のPMSが適切に構築・運用されていることを証明する制度としてプライバシーマーク制度があります。

主な相違点

ISMSとPMSは具体的にどのような違いがあるのでしょうか。以下に主だったものを5つ紹介します。

保護される対象となる情報資産の範囲

ISMSでは、システム内で保護される対象の情報資産は個人情報を含む情報資産すべてです。ただし、具体的に何を情報資産に含めるかは明確な決まりはなく、最終的には自社で決定します。例えば、企業活動に利用するソフトウェア資産や、企業ノウハウ、取得した特許なども含まれることがあります。

一方、PMSは、システム内で保護される対象の情報資産は個人情報に限定されます。こちらも、具体的に何を個人情報として管理するのかは、最終的には自社で決定します。

国際規格か国内でのみ有効か

ISMSは、国際標準規格を日本語訳したものに則っているため、国際規格としての側面をもっています。一方、PMSは日本国内の規格に則っているため、あくまでも国内のみで有効な規格です。

認証を受ける対象

ISMSは認証を受ける法人が、審査対象（適用範囲）を定めることができます。事業所、あるいは部門等の単位で取得できるため、例えば東京事業所だけ、人事部だけ、という認証が可能です。この場合、認証を受けていない箇所ではISMSに準拠しなくてよいこととなります。

一方、PMSの認証規格であるプライバシーマークは法人ごとに取得するため、認証を受ける場合は、必ず法人全体でPMSに準拠する必要があります。たとえ個人情報を基本的には扱わない箇所であっても、個人情報のやりとりが発生する際にはPMSに則った運用が求められます。

要求の性質

ISMSは、要求内容に対して各企業がどのように運用、アプローチするかは、ある程度構築する企業側に委ねられています。具体的には、ISMSにあげられている管理策の中から、自社にとって必要なものを選択し、マネジメントシステムを構築することになります。したがって、情報資産の保護手順や作成する文書など、自社にとって現実的な方法を検討・選択することができます。柔軟性はありますが、運用方法を自社で定めなければならないことを大変だと感じる企業もあるでしょう。

一方で、プライバシーマークは、要求内容に対する運用方法（手順や作成する文書など）が厳密に定められており、規格から外れることは認められていません。したがって、個人情報管理にあたっての各作業の手順や作成する文書などは、プライバシーマークを取得している企業間ではある程度同一になります。柔軟性はありませんが、適切な運用のために行うべきことを検討する必要がなく、予め提供されている型に自社の運用を当てはまればいいと考えることもできます。

審査の頻度

ISMSとPMS、どちらも認証を受けたら終わりではありません。どちらの認証も有効期限があり、更新するためには審査を受ける必要があります。規模にもよりますが、審査には事前準備も含めると数ヶ月単位の時間がかかるので、担当の方にはかなり大きな負担となります。

ISMSは1年に1度の維持審査と3年に1度の更新審査があります。維持審査では、該当企業がISMSを運用する上で重要な点にしぼってチェックし、更新審査ではISMS全体をチェックするという違いがあります。

PMSは2年に1度の更新審査があります。

ISMSとPMS　主な相違点

どちらの認証を取得するべきか

それでは、ISMSとプライバシーマークでは、どちらの認証を取得するべきなのでしょうか。

上記で見たように、ISMSとPMSは情報管理の目的が異なるため、自社の性格によって、取得するべき認証は異なります。

例えば、BtoB企業で、個人情報をピンポイントで管理するよりは、自社の営業状況や財務状況を含めた情報資産を管理することが重要な場合、あるいは海外に対してアピールが必要な場合はISMSを取得することが有効と考えられます。

一方、BtoC企業で、たくさんの個人から個人情報の提供を受ける等の理由で、個人情報を厳格に管理することが重要な場合、あるいは国内のみでのアピールで差し支えない場合はプライバシーマークを取得することが有効と考えられます。

また、事業が多岐に渡るなど、どちらの性格も持つ企業であれば、ISMSとプライバシーマークの両方を取得することも考えられます。

ISMSとPMS（プライバシーマーク）は一見、似た仕組みに思えるかもしれませんが、その性質はかなり異なることがお分かりいただけましたか。

マネジメントシステムの構築は、様々な部門や立場の方が関わる必要がある取り組みです。また、事業の拡大/縮小や事業内容の変化、セキュリティ脅威の進化など、自社自身、もしくは自社の周りの環境に応じて必要なセキュリティ対策は日々変化していきます。「何が正解」ということはなく、その時の状況に合わせて自社で構築するべき仕組みを定期的に見直し、不足部分や合わない部分があれば改善することが要求されます。

したがって、認証を受けるためだけでなく、維持・更新のためにもかなりの労力がかかりますので、事前にしっかりと検討を行い、組織だった仕組みをつくる必要があります。

情報活用が重要とされる近年において、企業で様々な情報を収集するようになった反面、個人情報漏洩などのデータ流出が大体的に報じられるなど、情報資産管理に対して世間の厳しい目が向けられるようになりました。情報資産管理の対策・強化は、社外からの信頼を獲得するためにはもはや必須といえますが、その具体策のひとつとして、ISMSやPMSといった仕組みの導入が役に立つことと思います。

本稿が、ISMSとPMSそれぞれに対する理解を深めるための一助となれば幸いです。