ISMSとプライバシーマークのどちらの認証取得を目指すべきか

最近セキュリティ規格の認証取得をしたいのでコンサルティングをして欲しいというお問い合わせが増えています。お問い合わせの多くはプライバシーマークを取得したいというご要望ですが、直接お会いして仔細な状況をおうかがいいすると、プライバシーマークよりもISMSの取得を目標に組織のセキュリティ対策を施した方がよさそうなケースがよくあります。お客様にそのことを伝えると、プライバシーマーク制度とISMSとの違いもよくわからないまま、「とりあえず」プライバシーマーク制度の方が今旬だということと、ISMSよりも取得するのがラクそうだからという方が少なくありません。ここには多少なりとも誤解があるようです。
今回のコラムでは、ISMSとプライバシーマーク制度の違いと、それぞれの認証取得のメリットについて解説したいと思います。

プライバシーマーク制度とISMSの思想の違い

プライバシーマーク制度は、もともとが「個人情報の持ち主（＝情報主体）のプライバシー権を保護する」という思想からスタートしています。ここで言うプライバシー権とは、自分の情報を自らコントロールできる権利のことを意味しています。
情報化が進んだ現代では、まず自分の情報を誰にも知られずに秘めておくということはまず不可能です。
逆に自分の情報をある程度提供することで享受できる有益なサービスもたくさん存在します。そのような現状を踏まえ、情報主体は本人の意思で個人情報を提供し、なおかつその個人情報を自らコントロールできることが情報化社会におけるプライバシー権のあるべき姿だという考えです。
そのためプライバシーマーク制度では、組織は個人情報を収集、利用、破棄するというライフサイクルを定義し、情報主体の合意を受けながら運用していくという特徴があります。
一方ISMSは、組織が保有する情報資産について、どのような脅威が存在し、どのようなぜい弱性によってその脅威を誘引するのかを認識し、その脅威が発生する頻度などを考慮に入れてリスクを算出し、リスクを軽減するような対策を講じていくということが目的です。極端な言い方をすれば、ISMSは自社を守るためのマネジメントフレームワークであり、顧客の保護は自社の保護の延長上にあるという考え方です。
このようにプライバシーマークとISMSとは思想的には180度違うものなのです。

個人情報の安全対策＝プライバシーマークという誤解

プライバシーマーク制度は前項で申し上げたとおり、「情報主体のプライバシー権を保護する」という思想からスタートしているので、個人情報の安全対策は要求事項の一部に過ぎません。その他にも、「利用目的について合意を得る」「合意した利用目的以外では利用しない」「勝手に第三者に提供しない」「情報主体からの開示・訂正・削除要求に対応する」などの手順を定めなくてはなりません。
以上のことを踏まえ、プライバシーマークとISMSの違いを図示すると以下のようになります。

このように、プライバシーマークとISMSで範囲が重複しているのは個人情報の安全性の確保だけです。情報資産の中で個人情報が占める割合が多い企業ではプライバシーマークを取得すべきですし、個人情報は情報資産の一握りだというのであればISMSを取得した方がはるかに大きなメリットがあります。

プライバシーマークとISMSの認証取得メリットの違い

プライバシーマークは、数あるセキュリティ認証規格の中で、もっとも消費者から認知されたマークです。
B to Cの製品・サービスを提供している企業であれば、個人情報をもっとも収集しやすいブランドを手に入れることになります。コンプライアンスプログラムに沿って個人情報のライフサイクルを運用していくことで顧客サービスの向上も期待できるでしょう。
一方、ISMSは網羅的に情報資産の安全性を管理していくので、事業の継続性が高まります。不測の事態などに対して骨太な組織になることが期待できます。このようなことはB to B向けの製品・サービスを提供している企業にとっては非常に重要なことです。企業が他社にアウトソースする際には、業者選定の際に必ずその組織の安全性や継続性を考慮に入れるので、ISMSの認証を取得しているということは大きな強みとなるでしょう。

認証取得に必要なコストについての勘違い

「ISMSの認証取得よりもプライバシーマークの認証取得の方が安上がりだからプライバシーマークが取りたい」ということをたまに伺います。果たしてそうなのでしょうか。まず、プライバシーマークは必ず全社規模で認証を取得する必要があるのに対して、ISMSは事業所の一部でも認証が取得できます。例えば拠点がたくさんあり、それぞれの拠点で個人情報を収集しているという場合は、安全対策や標準化に大変なコストがかかります。しかし、逆にコアとなる情報資産は一部の部門でしか扱っていないという場合には、ISMSの認証を取得するとしても比較的低コストで済みます。
次に運用面では、特に個人情報の情報処理などを受諾するケースが多いような企業の場合、顧客との契約ごとに個人情報のライフサイクルを定義することになるのでその都度コストが発生していきます。
また、個人情報保護法の全面施行を見据え、規格自体も現行よりも厳しくなるという話もでてきているのでそのあたりも考慮に入れるとさらに手間がかかることも想定されます。
このように、ISMSとプライバシーマークは導入から運用までのトータルコストで考えると、一概にどちらが安いとは言い切れない状況なのです。

プライバシーマークかISMSか

結局当たり前の話になってしまうのですが、プライバシーマークにすべきか、ISMSにすべきかというのはその組織にとってどちらが本当に必要なマネジメントシステムかということを分析し決定すべきです。コスト面でもスケジュール面でも今はさほど違いはありません。どちらの認証取得にしても決して安くはない買い物です。それだけに実効性の高さを重視した選択をされることをお勧めします。