「ISMS」と「プライバシーマーク」の認証を取得・維持する意義

はじめに

三菱総研DCSコンプライアンス・リスク管理部の佐々木と申します。私は現在、DCSが取得している情報セキュリティと個人情報保護に係る認証(ISMSとプライバシーマーク)の維持・推進を担当しています。
本ブログでは、DCSがこれらの認証を取得し維持する意義について、ご紹介します。

    目次
  1. 認証制度について(ISMS)
  2. 認証制度について(プライバシーマーク)
  3. 認証取得の意義(対外的な面)
  4. 認証取得の意義(内部的な面)
  5. 認証維持の意義
  6. 最後に

1.認証制度について(ISMS)

正式名称は「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」と呼ばれ、組織が構築したISMSが日本産業規格のJIS Q 27001(国際規格はISO/IEC 27001)に適合しているかどうかを、第三者が評価する制度です。
制度の詳細は、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)のホームページ(https://isms.jp/index.html)をご覧下さい。
DCSは、制度が始まった2002年に適用範囲を限定して取得後、2010年より適用範囲を全社に拡大し、認証を維持しています。

2.認証制度について(プライバシーマーク)

正式名称は「プライバシーマーク制度」と呼ばれ、事業者がJIS Q 15001に基づく審査基準に適合して、個人情報の取扱いについて適切な体制などを整備しているかどうかを、第三者が評価する制度です。適合していると評価された事業者に対しては、プライバシーマークを事業活動で使用することが認められます。
制度の詳細は、一般財団法人日本情報経済社会推進協会(JIPDEC)のホームページ(https://www.jipdec.or.jp/project/pmark.html)をご覧下さい。
DCSは、制度が始まった翌年の1999年に取得し、認証を維持しています。

3.認証取得の意義(対外的な面)

DCSのサービスの基本は、お客様の事業運営に欠かせない情報資産(データや機器など)をお預かりし、正確に処理し、安全に管理することにあります。なので、情報セキュリティの確保や個人情報保護は、DCSが事業を継続し、社会に対して責任を果たしていく上で必要不可欠なものとなります。
しかし、「DCSは情報セキュリティや個人情報保護に対応しています」といくら表明しても、それを証明するものがなければ、社会からの信用は得られません。これから就職しようとする人が、「私はこれだけの知識と能力があります」とプレゼンしても、それに裏打ちされたもの(例えば取得している資格や過去の実績)が示されないと、採用担当者も「この人の言っていることは本当か?」と疑ってしまうのと同じです。
そこで、情報セキュリティや個人情報保護のスタンダードにもなっているISMSとプライバシーマークの認証取得を通して、「DCSは情報セキュリティや個人情報保護に積極的に取り組み対応しています」ということを社会に表明し企業価値の向上を図ることが、認証を取得する意義となります。

4.認証取得の意義(内部的な面)

では、情報セキュリティの確保や個人情報保護について、どう取り組み対応すればよいのでしょうか。
ISMSもプライバシーマークも、認証を受ける上での基準があることは先に述べました。これらの基準には、必要な各種対策の列挙に加え、どのように仕組みを整備して運営すればよいかということも書かれています。つまり、「認証基準=教科書」と言えるものであり、これらを活用することで、世の中の標準的な仕組みや対策に適合した、DCSとしての情報セキュリティの確保や個人情報保護が可能になるという意義があります。
さらに、認証基準に合わせて様々な対応をしていく中で、以下のような効果も得られることも、認証を取得する意義となります。

  • 社内体制(例えば責任者や担当者の役割定義や任命)を整備できること
  • 組織として統一した手順(例えば情報機器・媒体などの使用や管理に係るルール)を整備できること
  • 保有する情報資産の重要度とリスクの評価に応じた適切な対策(例えば組織として最重要の資産の保管場所は災害などにも耐えられるようリソースをかけて整備し管理)を実施できること
  • 情報セキュリティの確保や個人情報保護に欠かせない知識の習得や意識の向上を図れること

5.認証維持の意義

ISMSやプライバシーマークでは、認証基準に適合しているかどうかを定期的に審査されますので、その審査に合格しないと、「DCSは情報セキュリティや個人情報保護に積極的に取り組み対応している」ことの証明を得られなくなってしまいます。
審査の中では、整備した情報セキュリティや個人情報保護の仕組みや対策が、認証基準に適合した上で、世の中の環境変化や法令等の改正、DCSという組織に係る様々な変化(例えばお客様からの更なる要望への対応や、新たなサービスの開始や既存サービスの終了、組織体制の変更など)に応じて、きちんとレベルアップや改善が図られているかを確認します。つまり、情報セキュリティも個人情報保護も、常にアップデートして進化していくことに、認証を維持する意義があります。認証を取得さえすればそれで終わり、というものではありません。
また、第三者の審査を受けることは、自らではなかなか気づきにくい有用なアドバイスを受けられる場でもあります。審査員は、情報セキュリティや個人情報保護の規格などに関する深い知識と、多くの組織や事業者を審査して様々な事例を見てきた経験があります。日頃の業務で、第三者からアドバイスを得られることは通常ないため、レベルアップや改善の機会として審査を受け、審査結果を活用して次のステップに進むことは非常に意義のあることです。

6.最後に

情報セキュリティや個人情報保護は、社会的にも、そしてDCSにとっても、今後もより一層重要なものとなることは事実です。世の中の環境変化などを取り込んで、常にレベルアップと改善を続け、「DCSは情報セキュリティや個人情報保護に積極的に取り組み対応しています」と将来にわたって表明できるよう、対応してまいります。