情報セキュリティ入門

経営者はプライバシーマークとISMSのどちらを取得するべきか？

プライバシーマークとISMSは、ともに近年のITの進展・普及を背景に社会的な関心が高まってきた制度です。情報セキュリティの必要性が求められている昨今にあって、経営者としてはどちらの取得を優先すべきなのでしょうか？

一概には言えませんが、たとえば受託系企業のように、法人との取引を中心とし、一般消費者に関わる情報についてはそれほど取り扱わないようなBtoBタイプの企業にとっては、個人情報だけでなく取引先との情報、営業上のノウハウといった事業に係る機密情報全般について、対象部門・業務を明確に定めた上でセキュリティ対策を図ることが必要となってきます。従って、このような場合はISMSの取得が有効であるといえます。

これに対して一般消費者との取引が主流で、そのために顧客情報を大量に取り扱うようなBtoCタイプの企業にとっては、開示手続きや苦情窓口の設置といった顧客対応の手順を社内で確立し、組織全体で個人情報の適正管理を実施することが強く求められます。したがってプライバシーマークの取得を目指してJISQ15001に沿ったコンプライアンス体制を築くことが有効であるといえます。

このように、いずれの制度を利用するかについては、経営者が自社の実情を踏まえて経営戦略を明確にした上で決定すべきです。またいずれかのみを選択する必要はなく、情報資産全般を取り扱うセキュリティ上重要な部門でISMSに沿ったマネジメントシステムを構築し、かつ個人情報の取扱については全社的にJISQ15001に沿った体制を築き上げていくという手法をとれば、企業の情報セキュリティレベルは一層強化されるでしょう。