ISMSを取得するとPマークは不要？

ISMSは企業が保護すべき情報資産について、情報セキュリティの安全性を認定する評価制度です。

ISMSの場合は、Pマークと異なり、対象範囲を決めることができますので、対象を全社とした場合、情報資産の中に個人情報が含まれますので、Pマークも含まれると思われがちですが、ISMSを取得したからといってPマークは不要ということにはなりません。

ISMSにしても、Pマークにしても、共通することは、外部の審査機関が審査を行い、客観的な認証基準に沿って、それぞれの規格に適合しているかどうかを判断する適合性評価制度です。

Pマークでは規格の求める対象が個人情報になりますので、ISMSの対象である全ての情報資産に含まれていますが、規格の目的が違います。

Pマークの場合、顧客の個人情報を含め企業が保有する個人情報の保護、及び提供した個人の権利を保護することを目的にしています。

それに対して、ISMSの場合は、Pマーク同様、企業が保有する個人情報、及び提供した個人の権利も保護しますが、情報資産全般を保護する仕組み作りを目的とし、その過程で社内の情報セキュリティルールを策定、及び対策を実施し、事業の継続、存続できる体制にすることを目的としています。

そのため、目的が違うため、その過程での企業がやるべき対策、対応は異なってきます。

Pマークの場合は、規格上求められる文書、成果物には決まりがあるため、自社にとって必要なくても作成しなければならない文書もあります。

そして、個人の権利を保護するため、個人から個人情報の開示、追加、訂正、削除の要求があった場合、手順が決まっており、こうあるべきという枠組みが決まっています。

ISMSの場合は、決まった手順、形がなく、企業によってセキュリティレベル、セキュリティルールを決め、それを遵守する仕組み作りをするという運用になりますので、Pマークよりは運用が企業にあった運用を行うことができます。

規格の違いなどについて、一覧表でまとめていますので、プライバシーマークとISMSとの違いを参照ください。

どちらの規格にしても、何もぜずに運用ができていなければ、形骸化していくので、決めたルールを有効に運用していくことが大事です。

どちらの認証を取得するべきかというご質問を頂くことがありますが、情報資産の中で個人情報を取り扱う割合が多く、B to Cのサービスを行っている場合などであれば、個人情報を適切に扱っていることをアピールできますので、Pマークの取得を優先的に検討することをお勧めしています。

または、社内の情報セキュリティのルールをしっかり決めたい、社内に守るべき情報が多く、その情報資産に対して、セキュリティをしっかりしたいなどの思いがあるのであれば、ISMSの取得をお勧めしております。

企業にとってそれぞれの規格の特徴を理解し、必要なマネジメントシステムはどちらかということを分析し、決定すべきだと思います。