 |
| もう一つの格付け:ISMS |
正式にはISMS(Information Security Management System)適合性評価制度といいます。
プライバシーマーク制度と同様に、事業者のセキュリティに対する取り組みを第三者が評価する格付け制度です。しかしISMSについて名前を知っている中小企業はさっぱりというのが現状です。
個人情報保護法の施行で注目が集まったプライバシーマーク制度に比べ、知名度はいまひとつですがISMSはプライバシーマークに比べ、守るべき範囲が広く、もっと注目されてよい第三者認証制度です。
今回のガイド記事はこのISMSについてご紹介します。
他の第三者認証との違い
プライバシーマークの保護対象は個人情報ですがISMSが守るべきは情報資産となります。これは電子媒体、紙媒体を問いません。またプライバシーマークの他にTRUSTeという第三者認証もあります。この3つの違いを整理してみましょう。
| TRUSTe | プライバシーマーク | ISMS | |
| 保護対象 | オンライン上の個人情報 | 個人情報 | 情報資産 |
| 適用範囲 | サイト単位 | 法人単位 | 部門でもよい |
| 有効期間 | 1年間 | 2年間 | 3年間 |
| 認証取得数 | 493サイト | 1,719社 | 967事業所 |
| 運営機関 | NPO日本技術者連盟 | JIPDEC | JIPDEC |
TRUSTe、プライバシーマーク共に保護対象は個人情報ですが、プライバシーマークの場合は企業活動における個人情報の管理で、TRUSTeはインターネットを通じた個人情報の保護となります。
認証取得している業種も異なり、プライバシーマークの認証取得企業はITベンダーや委託業者となる人材派遣業や印刷業者などが多いのですが、TRUSTeの認証取得企業はインターネット上で個人情報を取り扱うネットショップなどが多くなっています。
これらを組み合わせて認証取得している企業も多くあります。ネットで株取引サービスを行っているカブドットコム証券はTRUSTe、ISMSを認証取得しています。
| 第三者認証 TRUSTeとは? |
| プライバシーマークと同じような第三者認証であるTRUSTeってご存知ですか?認証取得後も常に第三者に監査され、プライバシーマークよりも厳しい第三者認証です。 |
ISMSが守るものは?
プライバシーマーク制度は『個人情報』という情報資産の一つを守るためのものですが、ISMSは『組織内の保護すべき情報資産』と守る対象が幅広くなります。 |
| ISMSは情報資産を守る |
また法人相手のビジネスの場合、顧客名簿は取引先の法人となります。法人は個人情報ではありませんのでプライバシーマーク制度の対象外となります。ただし組織としては情報資産として守るべき対象です。この場合、ISMSの方が適しています。
ISMSでいう保護すべき情報資産とは、組織として守るべき価値があるものです。
サーバーなどの『物理資産』だけでなく、ユーザマニュアルやデータファイルなどの『情報』、アプリケーションソフトや開発ツールなどの『ソフトウェア』、計算処理サービスなどの『サービス』、サーバー室の空調や電源などの『ユーテリイティ』、情報サービスの加入者など『人』となっています。プライバシーマーク制度で扱う『個人情報』も情報資産の一つとなります。
ただし、ISMSを認証取得するにはコストも手間もかかります。認証取得するメリットはどこにあるのでしょうか?
ISMSを取得するメリットは? >>
