ISO 27001(ISMS)認証取得は中小企業にメリット大?マイナンバー管理に向けて考えよう

マイナンバー制度がはじまりました。企業の情報セキュリティの意識への姿勢が問われ、ISO取得をめざす企業が増えています。

マイナンバーにおける企業の情報セキュリティ認証

 (32210)

マイナンバーが漏えいすると、成り済ましの可能性など、今までの一般的な個人情報とは比較にならないほどのインパクトを個人の与える可能性があります。
マイナンバーを預ける側としては、情報セキュリティ管理体制に、安心感のある企業・学校でなければ、就職・就学に躊躇してしまうことになります。
情報セキュリティ管理ができていると認識してもらえなければ、人事採用・パートナー募集・学生募集・などに支障を及ぼし、経営計画に影響を与えかねません。
 マイナンバー制度の安全管理措置対策・対外的信用の付与には、最適なISO27001(ISMS)を推奨しています。
国際規格ISOの情報セキュリティ認証を得ることで、信用性のおける企業であるというアピールをすることができ、またマイナンバーの取り扱の意識を向上させることでしょう。

ISO 27001(ISMS)とは

 (32156)

ISO27001マーク
ISMS(あいえすえむえす)は「Information Security Management System」の頭文字を取ったものであり、わかりやすく言えば「情報セキュリティを管理(マネジメント)するための仕組み(システム)」です。
情報化社会の進展の中で、情報漏えいなどのセキュリティ事故が多発し、IT周りを中心に様々のセキュリティ対策を実施しています。しかし、こうした技術的対策だけでは、問題が解決していないのが実態です。
そこで、技術的な対策だけでなく、人的・物理的な要素や運用面を含めて総合的なセキュリティ対策を実施するマネジメントシステムの重要性が着目を浴びています。
国際規格であるISO27001は、情報資産を適切に管理するための具体的管理策を網羅したセキュリティ体制を構築し、必要な資源配分や運用を監視し客観的に見直すマネジメントサイクルによって、情報セキュリティを維持することを目的に標準化された規格です。
ISO27001(ISMS)の認証を取得すると

情報セキュリティ対策が適切に実施できていると認められた企業あるいは組織として、取引先企業や消費者から、信頼に値する企業であると判断いただけることになります。また、社内体制において情報セキュリティマネジメントシステム(ISMS)が確立され、情報資産に対する活用と保護の実践が可能になります。

via http://www.kcs.co.jp/service/consulting/detail_514.html
情報セキュリティ管理システムともいう。組織の情報資産について、機密性、完全性、可用性をバランスよく維持し改善することが、情報セキュリティマネジメントシステムの基本コンセプトである
   現在、日本では約4,500社が認証されています。

   個人情報のみではなく、企業が持つすべての機密情報が範囲となります。

 (32231)

ISO27001の取得費用
審査する場所(部署数、支社支店・工場等)の数、従業員数によって費用は決まってきます。数が多くなれば、審査工数(時間)が長くなり、料金も高くなります。

内訳は、ISO27001登録料、文書審査料、実地審査料(審査は2回に分けて実施されます)といったところです。審査機関によっては別途、審査員の拘束費用(移動中の時間給)を請求するところもあります。

利用する審査会社によって料金設定はまちまちですが、最低規模の審査でも50万円~100万円くらいで、やはり幅があります。

コンサル費用と同様、審査員の交通宿泊費がかかります。

プライバシーマーク

 (32164)

こちらはPマーク
プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者(基本的には法人単位。ただし、医療関連については病院ごとなど例外あり)に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) により使用を認められる登録商標(サービスマーク)の事である。Pマークと略して呼ばれることもある。
現在は、日本で約14,000社が認証されています。

   個人情報のみの適用範囲です。そのため、マイナンバーはこちらで包括されることとなると
   思います。

   視点は顧客(消費者)保護。

Pマークの費用

Pマークの費用

ISOとプライバシーマークの違い

 結論から言えば、 「自社で直接取得する顧客等の個人情報が多い場合(B to Cが主体)はプライバシーマーク。自社で直接取得する個人情報が従業員情報ぐらいであり、外部からの情報処理等で預かる個人情報(別に個人情報のみに限りませんが)が多い場合(B to Bが主体)はISMS。」という説明で良いと思います。……

プライバシーマークの方が安い費用で取得できる。」との認識もあるようですが、ISMSでは、保護すべき対象が明確になれば、その対象を扱う部門のみで認証取得できますので、一概には言えません。

 少なくとも、「個人情報=プライバシーマーク」「プライバシーマークの方が簡単に安い費用で取得できるから。」との誤った認識による選択だけはやめていただきたいと思います。

 ちなみに、ISO27001/ISMSでも、情報セキュリティ上の管理策として、個人情報保護法の法的要求事項や契約に盛り込まれた要求事項は遵守しなければなりません。
 「プライバシーマークなら良いが、ISMSはダメ。」と言った社会的評価は無いと思いますし、国際標準(ISO)となった事で、今後、さらに評価が高まることでしょう。

国際基準であり企業が持つ機密情報のすべてに対しての情報セキュリティ認証のISO27001の方が、企業の内外への信用性の高さや従業員の意識改革に繋がる点で信頼性が高い認証であると言えます。

どちらの認証がいいかは、事業規模などトータルで考える必要がある

 (32237)

プライバシーマーク(PMS:個人情報保護マネジメントシステム)の取得……

外部審査は(継続・更新含め)2年に1回(ISMSの半分)のため、ランニングコストはやや低めになります。
     ※審査料金は、審査会社は事業所所在地で指定されます。審査料金も、一律です。

 比較的従業員数が少ない中小企業で、専任担当者若しくは必要人員を確保することが難しい企業は、Pマークにてマイナンバー管理+自社で保有する個人情報を保護するために、活用するのが良いかも知れません。

ISO認証の取得には長い期間と高額な費用がかかり、従業員や企業規模によって費用がまちまちです。その点ではPマークはランニングコストや維持費がかからない利点ですが、ISOほどの機密性を担保する認証ではなく個人情報における認証なので、企業向けへのアピール力は低いかもしれません。

取引先が機密性の保持を求める企業を抱えている場合は、ISO27001を取得しておいたほうが長い目で見ると信頼を勝ち取ることができるうえ、企業としての信頼性を高めることができます。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする