第108回 プライバシーマークとISMSの違い(1)
プライバシーマークとISMS、どちらも違和感がある言葉です。普段、アイエスエムエスなんて、舌を噛(か)みそうな言葉は言わないものですから。でも、どちらも少しずつ世の中に馴染(なじ)んできたようです。
「ウチの会社は、どちらの認証を受けるべきだろうか?」
2つの制度に対して、様々な誤解があると思います。
「ISMSはPマークの、上級コースですよね?」
「IT系の会社だったら、ISMSにすべきですか?」
「紙データの保護は、Pマークは対象でISMSでは対象外?」
「ISMSは金が掛かりそうだし、とりあえずPマークにしておきます。」
これからPマークとISMSの違いを、考えてみたいと思います。
今回は、共通の考え方についてお話します。
■制度の概要
(1)プライバシーマーク制度
個人情報保護JISQ15001に適合したコンプライアンス・プログラム(CP)の要求事項に従い、コンプライアンス・プログラムを作成します。
http://privacymark.jp/ref/
コンプライアンス・プログラムとは、事業者が自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム。
(2)情報セキュリティマネジメントシステム(ISMS)適合性評価制度
(ISMSとは、Information Security Management Systemの略称)
ISMS認証基準Ver.2.0の要求事項に従い、組織のリスクアセスメントに基づいてISMS文書を作成します。
http://www.isms.jipdec.jp/about/index.html
制度を解説する2つのホームページを閲覧すると、デザインや文書量やノリが全く違いますが、PDCA(Plan-Do-Check-Act)のマネジメントサイクルを適用し、組織内のプロセスを継続的に改善していくことについて、共通の考え方をとっています。
ISMSは2003年にVer.2.0に改訂した際、マネジメントプロセスが導入され、プロセスアプローチと継続的改善が強調されました。リスクマネジメントにおけるPDCAモデルを明確化することにより、ISMSの有効性が高まる、とされています。
いずれの制度の構築にあたっても、組織が到達すべきゴール(ビジョン)を設定し、ビジョン達成の具体的な方向性(戦略)に合致しているか否か、検討を進めるものと思います。
平たくいうと、
「どのような会社・組織にしたいのか?」
「そのために、なにをすべきか?」
「そのとき、この制度はどのような役割を果たすか?」
という手順で、気楽に真面目な話をしては如何(いかが)でしょうか。
しかし、PDCAといえば、昔やったQC活動やリーダー研修で教わった、古くさい概念に聞こえるかもしれません。
コラボレットでは、Pマークを取得し2年目の更新審査に臨む段階で、Act(代表者による見直し)が、やっと腑(ふ)に落ちてきました。すなわち、監査をする、監査の記録を付ける、見直しの会議を計画し進捗(しんちょく)確認をするなど、いくつものプロセスを仕組みにする意味が、たった一言に含まれていることを少しずつ実感してきました。
「仕組み作り」とは、シンプルですが奥深い言葉です。
