皆様、ベネッセの情報漏洩事件、ご存知でしょうか。
あの事件以来、情報セキュリティへの関心が急速に高まりました。今ではIT企業のみならず、さまざまな業界で個人情報保護に熱心に取り組んでいます。
そんなセキュリティの基準をわかりやすく形にしたものとして、PMSやISMSがありますが、これらがどういうものか、ちゃんと理解できているでしょうか? 何となく「個人情報保護に関するもの!」という理解だけで済ませてはいないでしょうか?
今更人には聞けないこれらの違いを、簡単に解説します。
PMSとはどういうもの?
PMSは、「Personal Information Protection Management Systems」の略です。
日本語に訳すと「個人情報保護マネジメントサイクル」となり、セキュリティ方針を以下の4つの運用に則って行います。
- 計画…個人情報保護のためのシステムを計画します。
- 実行…計画したシステムを実際に運用します。
- 確認…実行した手順、結果に問題がないか確認します。
- 見直し…確認した問題点から改善点を策定します。
これら4つのフェイズはPDCAサイクル(計画、実行、確認、見直し)と呼ばれ、常に改善していくことを目的とした仕組みになっています。
PMSを認められた企業はプライバシーマークを掲げることができるようになり、企業としての信頼性に繋げることができます。
ポイントは、PMSは本社が取得していれば、各拠点で登録する必要はないということです。ただしその場合でも、従業員は定期的に講習を受ける必要があるので、経営者の方は忘れないようにしてくださいね。
ISMSとはどういうもの?
ISMSは「Information Security Management System」の略で、日本語では「情報セキュリティマネジメントシステム」と訳します。
PMSが個人情報を守るための仕組みであるのに対し、ISMSは個人情報に限らず、情報セキュリティのあるべき基準を示したものになります。
ISMSを構成しているのは、以下の3つの基準です。
- 機密性
情報が漏洩しないようにすること。
- 完全性
情報が不正に改竄、削除されないこと。
- 可用性
必要な情報をすぐに使えるようにすること。
これら3点をバランス良く成立させたものが、ISMSから見て「良いセキュリティ」なのです。どんなに漏洩、改ざんに強くても、誰もアクセスできないような情報には意味が無い、というわけですね。
PMSと違い、拠点ごとに取得しなければならないので、気を付けましょう。
それぞれのメリット、デメリット
PMSもISMSも、メリット・デメリットという点では非常に似た特徴を持っています。
メリットは企業としての信頼性を上げられる点、また、取得することで潜在的なセキュリティの不備に気づくことができる点です。
反面、デメリットは、取得や申請、資格の維持にコストや手間がかかってしまう点です。
PMSやISMSを取得しても、実際に仕事に役立たせるには長く運用してみないとわからないので、取得に二の足を踏んでしまう企業も多いようです。
「取得しなかった場合」を考えてみるべき
PMSやISMSについてご紹介しましたが、これらが必要か否か、という点には意見が分かれるところかと思います。
ですがここで、取得しなかった場合のデメリットを考えてみましょう
今は大抵の企業でこれらの資格を取得している時代です。この資格を持っていないせいで受注競争で非常に不利になり、仕事が取れない可能性もあり得ます。企業としての信頼を得るためにも、PMSやISMSは取得しておくに越したことはないといえます。