ISMSを構築し、審査機関の審査を受け、審査の合格できた場合、ISMS認証マークを利用できます。
これは、運転免許証のようなもので、このマークを公開すれば「自分の会社や組織では、ISMSが適切に運用されています」ということを外部に明示できます。
せっかくISMS認証を取得し、認証マークを利用できるようになったのであれば、営業的な視点からも、積極的に活用していきたいものです。
そこで今回は、ISMSのマークに関する説明や、活用方法について見ていきたいと思います。
※本来であれば、具体的な認証マークのロゴを示して利用したいのですが、著作権やマークの性質(認証を取得した組織が、必要なルールに従って利用できる)上、この記事での具体的な説明はできない旨、予めご了承ください。
ISMS認証マークとは
ISMS認証を取得すると、審査機関からマークのロゴ画像データが送られてきます。
しかし、送られてきたロゴマークが複数あり、困惑された方もいらっしゃるのではないでしょうか?
送られてくるマークは、大きく2種類に分かれます。
1. 審査機関(認証機関)のマーク
あなたの会社や組織の審査をした、審査機関のマークです。日本国内にISMSの審査を行っている審査機関は複数あります。審査機関のマークは、「あなたの会社や組織は、ここの審査機関からISMS認証を受けています」といった事実を示すものになります。
2. 認定機関のマーク
ご存知の方もいらっしゃるかもしれませんが、ISMS審査機関も、ある機関から「審査機関として適切な業務を行っているのか」の審査を受けています。この審査のことを「認定」といいます。(審査機関が会社や組織に付与する「認証」と間違えやすいので、注意してください。)その「審査機関の審査機関」のような組織が、一般的に「認定機関」と呼ばれています。「認定を行う機関」という意味ですね。
審査機関から送られてくるマークには、その認定機関のマークも含まれています。
日本のISMS認証の中で最も有名な認定機関は、「ISMS適合性評価制度」という制度名称でISMS認定を行っている「ISMS-AC」という組織です。(昔は「JIPDEC」でしたが、一部組織が独立して「ISMS-AC」と呼ばれるようになりました。)
このISMS-ACから認定を受けている審査機関からお墨付きを貰えれば、おそらくISMSマークの中で最も有名であろう、あの紺ベースで白抜きマークを利用することができます。(ピンとこない方は、Google画像検索などで「ISMS マーク」などと調べてみてください。)
一方で、日本国内にはISMS-ACではなく、他の認定機関の認定のもと、ISMSの審査を実施している審査機関もあります。ISMS-AC以外の認定機関には、アメリカの「ANAB(アナブ)」や、イギリスの「UKAS(ユーカス)」などが有名です。こうした審査機関でISMSの審査を受審した場合は、ISMS-ACの認定を受けている審査機関ではないため、例の紺色のISMSマークではなく、ANABやUKASのロゴマークを利用することになります。
審査機関によっては、ISMS-ACと、海外の認定機関(ANAB、UKASなど)の両方の審査のもと、ISMSの審査を実施している審査機関もあります。その場合は、ISMS-ACの紺色マークも利用できますし、他の認定機関のマークも同時に利用できます。
これらのマークの組み合わせ方は、各審査機関からアナウンスやガイドが出ていることが多いので、ぜひそちらも参考にしてください。
実際の活用方法
さて、今までは認証マークの説明をしてきましたが、ここからは具体的なマークの活用方法についてご説明します。まずは、よく使われる代表的な3つのケースを紹介します。
1. 名刺
最も多い活用法が、「名刺」にマークを印刷し、会社のアピールに利用する方法です。名刺の再印刷などの手間はかかりますが、気軽に取引先やお客様に対して、セキュリティレベルのアピールをすることができます。
名刺のデザインにこだわりがある、もしくはすでに名刺に多くの情報を掲載している企業様にとっては、認証マークを載せることで名刺全体のデザインが纏まりのないものになってしまうこともあるため、意図的に載せていないケースもあります。
2. Webページ
認証マークは、Webページにも掲載することが可能です。自社内でWebページを作成している場合は、名刺への印刷よりもコストが低く掲載することもできます。ISMS認証取得を全面的にアピールしたい場合は、プレスリリースなどを実施する会社もあります。
3. 会社パンフレット
意外と忘れがちですが、会社のパンフレットなどにも認証マークを利用することができます。お客様や求職者にもアピールすることができそうですね。
以上のように、様々な活用方法があるISMSマークですが、実際の利用の際には、いくつか注意点もあります。
次の文章で確認してみましょう。
使う際の注意点
1. 認証の範囲内でマークを利用しているか
認証のマークは、認証範囲内の人や組織でしか利用できません。
認証範囲外の人にはマークを利用することができませんし、認証範囲以外でもISMSを取得しているように誤解されかねないマークの使い方をしてはいけません。
例えば、東京本社のA部署でISMSを取得している会社を想定してみましょう。もちろん、B部署の従業員の名刺にマークを使うことはできませんし、大阪支店で働いている従業員の名刺にも利用できません。
また、名刺に東京本社と大阪支社の両方の住所を掲載している場合、マークの下に「東京本社のみで認証を取得しています」といった注釈を入れる必要があります。これはWebページや会社パンフレットも同様です。
繰り返しになりますが、「認証範囲以外でもISMS認証を取得しているように誤解されないマークの使い方をしましょう」ということが強く求められています。
2. 誤認されるようなマークの使い方をしていないか
認証は組織に与えられるため、製品パンフレットなどで、その商品が認証を受けているような利用はできません。
製品を製造している会社や、Webサービスを展開している会社がISMS認証を取った場合、その製品パンフレットやWebサービスの紹介ページに「この製品/サービスはISMS認証を取得しているので安全です!」と書きたくなることもあるでしょう。しかし、このような利用方法は一般的に許されていません。
審査員は、あなたの会社が提供している製品やサービスそのもののセキュリティレベルをチェックしている訳ではなく、あなたの会社における従業員の活動を確認し、組織の中でマネジメントシステムが運用できているかをチェックしているためです。
3. 認定シンボル・登録シンボルが古いままでないか
認証マークには、認定シンボルと登録シンボルが記載されています。あまり起こりうることではありませんが、認定機関や認証機関の名称が変わると、使用するシンボルマークや認定メークのデザインが変わります。また一定の有効期限が過ぎると新シンボルマークの認証マークに入れ替える必要があります。
例えば、認定機関のJIPDECがISMS-ACに認定機関の名称が変わりました。それに伴い、2020年6月30日までに入れ替える必要があります。
4. マークの画像に変更を加えていないか
例えば、縮小したり拡大したりして掲載する場合は、ロゴマーク各部分の寸法を変えてはならず、なおかつ各部分が明瞭に識別できるように表示しなければなりません。
また、企業自体の社名やサービス名、ロゴなどよりも大きく表示してはいけないということになっています。
解像度を落とすなどして、画像を劣化させることをしてはいけません。
5. 認証登録番号を削除した状態で認証マークを使用していないか
認証マークの下部に番号が記載されています。その場合は、認証登録番号を表します。この番号を削除した状態で認証マークを使用することは禁止されています。
弊社では、ISMS認証取得コンサルティングサービスを行っています。ISMSの要求事項と会社の事情等の両方のバランスをとり、貴社で「運用できる」ISMS認証を心がけ、これまでに2,300社以上をご支援させていただきました。認証取得にご興味のある方はぜひお気軽にご相談ください。