いまさら聞けないPマーク、ISO、ISMSってなに？

名刺交換をした時に、「Pマーク」や「ISO」「ISMS」などの文字が刷り込まれた名刺を受け取ったことがあるのではないでしょうか。企業のパンフレットやWebサイトに載っている場合もあります。
それがなんだか説明できますか？

ここでは「Pマーク」「ISO」「ISMS」の基礎を解説していきます。

Pマークの基本的な知識

Pマーク導入の背景

Pマークは、正式にはプライバシーマークといいます。

近年、インターネットなどの情報処理技術の発展で、大量の個人情報がネットワーク上でやりとりされ、処理される時代となりました。それに伴って、個人情報の保護が強く求められるようになりました。

このため、財団法人日本情報処理開発協会(現　一般財団法人日本情報経済社会推進協会)が通商産業省(現　経済産業省)の指導のもとに「プライバシーマーク制度」を1998年に創設しました。

その後、2003年に民間の事業者を対象とする「個人情報の保護に関する法律」が制定され、2005年から全面的に施行されています。個人情報を取扱う事業者は、この法律に適合することが求められています。

ちなみに、国の行政機関の個人情報の扱いに関しては、すでに「行政機関が保有する電子計算機処理に係る個人情報の保護に関する法律」が、1988年に制定され施行されています。

Pマーク制度の認定を受けるためには

プライバシーマーク制度は、事業者が取得した個人情報を適切に取り扱う体制等を整備しているかどうかを評価する制度です。

認定に当たっては、社内の規程と記録様式を確認する「文書審査」と実際に運用されているかを確認する「現地審査」が行われ、そこで指摘された項目を是正することで認定されます。

Pマークを取得する会社は、オフィスで個人情報が保管されているエリアを施錠管理しなくてはなりません。また、個人情報が含まれている書類の他、USBメモリーやモバイル機器なども机上に放置せず、デスクの引き出しに入れて施錠することが求められています。

Pマークの目的

プライバシーマーク制度は、次のような目的をもって導入されています。

消費者に対しては、プライバシーマークを目に見える形で示すことによって、消費者の個人情報保護に関する意識の向上をはかる効果が期待できます。

また、事業者が個人情報を適切に取り扱っていることを消費者に知らせ、社会的な信用を得るためのインセンティブを与えることができます。

事業者にとっては、プライバシーマークの掲示は、法律に適合した企業であることを示すものであり、高いレベルの個人情報保護マネジメントシステムを確立し、運用していることを消費者にアピールする有効なツールとなっています。

ISOの基礎知識

ISOとは？

「ISO」(アイ・エス・オー、イソと呼ぶ人もいます)とは、ジュネーブに本部のあるNGO(非政府機関)International Organization for Standardization(国際標準化機構)の頭文字をとった略称です。

ISOは国際的に通用する規格の制定を行う機関で、そのISOが制定した規格をISO規格と呼んでいます。ISO規格は、製品やサービスに対して、世界中で同じ品質・レベルのものが提供できるようにと定められた国際的な基準を意味しています。その規格の制定や改定は、日本を含む世界193カ国(2019年3月末現在)の参加国の投票により決められています。

ISO規格の種類

ISO規格は、もともと製品を対象とした標準化からはじまりました。これには、非常口のマークの規格であるISO7010、カードのサイズ規格ISO/IEC7810、ネジの規格ISO68などがあります。

その後、組織のあり方やエネルギーを対象とした標準化規格が誕生しました。これには、品質管理のISO9000、環境管理のISO14001、社会的責任の標準規格ISO26000、エネルギーマネジメントのISO50001などがあります。現在では、サービスを対象とした規格として銀行業務、試験業務、ファイナンシャルプランニングなどの規格が導入されています。また、2020年5月には、小口保冷配送サービスの国際規格ISO23412が発行され、ヤマト運輸が世界で初めて同規格を取得しています。

ISOマネジメントシステム規格とは？

先程のカードのサイズや非常口のマークなどはモノの規格ですが、これとは別に、ISOにはマネジメントシステム規格があり、名刺に刷り込まれているISOマークはこれを指しています。

マネジメントシステムとは、会社や団体における理念の実現や経営目標の達成に向けて、組織を管理していく仕組みのことを言います。このマネジメントシステムの国際基準が「ISOマネジメントシステム規格」なのです。

ISOマネジメントシステム規格の認定業務はISOが行うのではなく、ISO認定機関の審査員が行うことになっています。

ISOマネジメントシステム規格認定を取得するメリットは

ISO規格の認定取得は強制ではなく、企業の自主性に任せられています。しかし、認定を取ることで、下記のようなさまざまなメリットを得ることができます。

• 官公庁の入札の際、加点対象となる
• 取引先の条件を満たすことができる
• 対外的な信頼感が増し、営業活動にプラスとなる
• 経営効率が改善される

また、国際的に標準化されている規格であるため、海外進出にも役立ちます。

なにより、ISOマネジメントシステム規格には、審査期間による3年に一度の「更新審査」と毎年行われる「維持審査」があります。これにより、自社のマネジメントシステムを見直すことができ、長期的な事業の発展に結びつけられると評価されています。

ISMSとは何？

ISMS誕生の背景

ISMSとはInformation Security Management Systemの略で、組織の情報セキュリティを管理するための仕組みを指しています。内容的には、情報セキュリティ(Information Security)の部分とマネジメントシステム(Management System)とに分けられています。

ITシステムやネットワークは社会に不可欠なインフラとなっていますが、その一方で、ランサムウェアや標的型攻撃などによって、多くの企業が被害を受けています。

そこで、ISO(国際標準化機構)とIEC(国際電気標準会議)が協働してISMSに関する規格ISO/IEC27001を策定しました。また、JIS(日本産業規格)がこれを日本語化しJIS Q 27001という規格を作り上げました。

今日では、企業にとって総合的な情報セキュリティを確保するため、ISMSの構築と運用が必要不可欠となっています。

ISMS認証取得のメリットとは

ISMS認証取得のメリットは、社外に対しての効果のある社外的メリットと社内的に効力を発揮する社内的メリットに分けられます。

社内的メリットとしては次の3点があります。

1. ISMSでは、情報セキュリティの運用が見える化されるため、社外への説明の証となる
2. 官公庁への入札や取引企業の要請に応えることができる
3. 国際基準をクリアしていることで起業としての信頼感がアップする

また、社内的なメリットとしては次の2点が考えられます。

1. 情報に関する被害を小さくして、リスクを低減することができる
2. ISMSの取得は、情報セキュリティに対する全社員の意識改革を促すことを意味しており、従業員の意識・モラルの向上につながる

ISMSとPマークの違い

情報保護に関する認証制度として「ISMS認証」と「Pマーク」があります。この両者の違いを確認しておきましょう。

まとめ

「Pマーク」「ISO」「ISMS」、それぞれの基本的知識をご紹介しました。それぞれの規格には厳格な審査があるため、実際に規格認定を取得しようとする場合には、一段と深い知識が求められます。

しかし、ビジネス・パースンとして、それぞれの規格の特性を把握しておくことは、今後のビジネス展開においても必要なことであると思われます。