ISMSでは任意だが、Pマークでは絶対しなければならないこと

この記事は約4分で読めます。

情報セキュリティに関する認証として、「ISMS」と「Pマーク」をよく目にしますが、いったいこの2つはどう違うのでしょうか?

ISMSでは「社内で取り扱う情報全て」Pマークでは「個人情報」といったように、取り扱う情報が違うことはもちろんですが、実はISMSでは必要なくとも、Pマークを取得する上で必ず対応しなければならない事がある」という違いもあります。

今回はそちらに関しての説明をしていきます。

ISMSとPマークでは取り組みがどう変わるのか

ISMSでは必要なくとも、Pマークでは必ず対応しなければならない事としては、以下のようなものがあります。

個人情報保護方針の作成

個人情報保護方針は組織の代表者(基本的に社長)が作成を行います。
多くの個人情報保護方針がHP上で公開されていますので、それを参考に作成する事もあります。

その場合コピーするのではなく参考程度にとどめ、きちんと自社の方針を記載するようにしましょう。作成した個人情報保護方針は、HP上で公開する必要があります。

作成方法
  • 同業他社の個人情報保護方針を参考に作成する
  • 専門家に作成してもらう

個人情報を直接本人から受け取る際など、本人から「明確な同意」を得る

以下のような時に、明確に同意を得る必要があります。

  • 採用応募者が面接にやってきた際に、履歴書や職務経歴書を手渡しでもらうとき
  • 従業者が入社する際に、マイナンバーや年金手帳などの情報を預かるとき
  • Web上のフォームから、個人情報を取得するとき
同意の取得方法
同意書面を用意し、同意してもらう

来訪者が来ることに対する記録を残す

オフィスに来訪者が来た事実を残す必要があります。

残すべき記録
  • 「誰が」「いつから」「いつまで」いたか
記録の残し方
  • 来訪者に来客記録を書いてもらう
  • RECEPTIONISTなどの受付サービスを利用する
  • Googleカレンダーなどに来訪者が来ることを残す

日々入退館の記録を残す

オフィスに人がいる状態なのか、誰もいない状態なのかを記録で残すため、従業員であっても、日々の入退館記録を残す必要があります。

残残すべき記録
  • 「最初に誰がオフィスの鍵を開け」「最後に誰が鍵を閉めた」か
記録の残し方
  • 紙で毎日記入する
  • スマートロックなどのログ

教育実施時に計画書を作る

教育を実施する際、計画書を作る必要があります。

計画書に最低限盛り込む内容
  • 「いつ」「だれ」に「どんな」教育を実施するのか
  • 教育する内容を身に着けるための評価方法

従業員教育に規格で求められる内容を盛り込む

Pマークの従業員教育では、以下の内容を必ず盛り込む必要があります。

盛り込むべき内容
  • 自社の個人情報保護方針
  • 個人情報保護マネジメントシステムに適合することの重要性と利点
  • 個人情報保護マネジメントシステムに適合するための役割及び責任
  • 個人情報保護マネジメントシステムに違反した際に予想される結果

マネジメントシステムが運用されていることの記録を残す

マネジメントシステムが問題なく運用されているか、定期的に記録に残す必要があります。チェックリストを用意し、チェックすると良いでしょう。

頻度
頻度については、ルールとして求められていませんが、四半期に一回程度行えば問題はありません。
チェックすべき項目
特に決まりはありませんが、社内規定をもとにチェックしていきます。例えば、「安全管理措置」の内容で定めたルールの中で、従業員全員に適用されるもの(クリアデスク・クリアスクリーン、パスワードポリシーなど)等も該当します。

開示等の請求等を受け付ける窓口の設置

個人情報の開示請求を受け付けるための手続き方法を記載し、窓口を設置する必要があります。

問い合わせ窓口情報(例)
  • 名称
  • 所在地
  • 個人情報保護管理者名
  • 電話番号
  • メールアドレス
認証取得を目指す Pマーク
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ向上クラウド「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました