"ISMS"と"プライバシーマーク制度"の関係

両制度の共通点としては、組織内のセキュリティ保護のインフラ整備や構成員への教育、（内部）監査、経営者レビューなどがあり、常にPDCAのマネジメントサイクルを回せれば、組織にとって有効な活動となります。以下に主な違いを説明します。 1）保護の対象 　Pマーク：組織が取扱う個人情報を特定し、個人情報の保護対策を実施します。 　ISMS：組織が保護すべき情報資産を識別し、セキュリティ対策を実施します。 2）管理範囲 　Pマーク：個人情報の保護は、安全管理策を実施するだけでなく、管理する個人情報について情報主体の権利に対応することも含まれます。即ち、情報収集時には事前に利用目的等を伝えた上で本人の同意をとることが必要であり、収集後も本人からの修正・削除などの要望に応じる等の必要があります。 　ISMS：基本的に、組織の情報資産(個人情報も含めすべて)に対してセキュリティ対策（管理策）を実施します。 3）規格と作成文書 　Pマーク：JIS Q 15001 個人情報保護に関するコンプライアンス・プログラム（下記URL参照）の要求事項に従って、事業者がCP(コンプライアンス・プログラム)を作成します。　 　ISMS：ISMS認証基準Ver.2.0（下記URL参照）に従い、組織のリスクアセスメントに基づいてISMS文書を作成します。 4）マネジメントシステム構築での配慮事項 　Pマーク：個人情報の安全管理策を構築することに加えて、情報主体の権利に対する要求への管理策が必要となります。また、個人が対象となるために、苦情処理窓口を準備して対応するなど消費者保護の側面を考慮する必要があります。 　ISMS：組織の事業継続や、運用コストも配慮した総合的な観点でセキュリティ対策の取組みがされているかが重要なポイントとなります。

大澤事務所株式会社