Pマークと他のISOとの関わり
Pマークはプライバシーマークの略称ですが、どのような制度でしょうか。
プライバシーマーク制度は、事業者が保有する個人情報の取り扱いが適切であるか、
日本工業規格
「JIS Q 15001 個人情報保護マネジメントシステム
の
要求事項
」への
適合性
を評価し、適合した場合に、事業者にPマークの使用を許可するものです。Pマークを運用して個人情報を保護する仕組みが
PMS
(Personal Information Protection Management Systems)です。
また、Pマークの要求事項である「JIS Q 15001」規格は、下記「図解01イメージ図:JIS Q15001:2017規格構成の改正内容」に示すように、JIS Q 15001:2017規格構成の「本文」で附属書SL(共通テキスト)を参考にしていることから、ISOマネジメントシステムの共通概念を導入していることが理解できます。
本稿ではPマークと他のISOとの関連性という視点で、ISOマネジメントシステムの導入効果や規格章立、Pマーク(JIS Q15001:2017)の改正ポイントである規格構成について取り上げました。改正時に参考となったJIS Q 27001:2014との相違点や規格認証 取得時の留意点についても記載します。
目次
マネジメントシステムの種類と導入効果
PMSはISO規格ではありませんが、マネジメントシステムには様々な種類の規格があり、組織の目的に合ったマネジメントシステムを適切に運用(PDCAサイクルの実施)し、組織の課題を明確して継続的改善を図ることで、組織の経営体質やマネジメント力の向上など改善効果を得ることができます。その他、相乗効果として自社ブランド力や顧客・取引先等との信頼関係の向上も期待できるでしょう。
以下にマネジメントシステムの種類ついて、認証取得率の高い順に列挙します。
- 品質マネジメントシステム(QMS/ISO9001)
- 環境マネジメントシステム(EMS/ISO14001)
- 食品安全マネジメントシステム(FSMS/ISO22000)
- 情報セキュリティマネジメントシステム(ISMS/ISO27001)
- 労働安全衛生マネジメントシステム(OHSMS/ISO45001)
- その他(個人情報保護マネジメントシステム(PMS/ JIS Q15001)等)
また、ISOマネジメントシステムでは、統合版ISO 補足指針の附属書SL(ISO共通テキスト)の採用により、各種マネジメントシステム共通の規格章立てとなり(*1)、用語・表記が統一されました。これにより、複数のマネジメントシステムを運用するケースでは、マネジメントシステム共通事項については個々に対応する必要がなくなり、導入・運用における業務負荷・運用(維持)コストを軽減することができます。
*1 共通の規格章立
≪箇条構成≫
- 0. 序文
- 1. 適用範囲
- 2. 引用規格
- 3. 用語及び定義 ※両規格において相違点あり
- 4. 組織の状況
- 5. リーダーシップ
- 6. 計画
- 7. 支援
- 8. 運用
- 9. パフォーマンス評価
- 10. 改善
PマークとISO/IEC 27001:2013(JIS Q 27001:2014)との関わり
Pマークの最新版
現在、JIS Q15001の最新版は「2017年版」で、2017年12月に大幅に改正されています。
JIS Q15001:2017の改正内容について
JIS Q15001:2017の改正では、データ(情報資産)の安全管理措置で情報セキュリティの概念を導入した内容となっています。また、附属書SLを採用しているJIS Q27001:2014を参考にしていることから前述した共通の規格章立(*1)となり、規格の構成も以下のように変更されています。その他、個人情報保護法の改正に伴い要求事項が追加されています。
JIS Q15001とJIS Q 27001の相違点
JIS Q15001とJIS Q 27001は、データの安全管理措置の点で共通概念を持ち、個人情報を保護するという点で類似しており誤解されやすい規格ですが、保護する対象領域が異なり、JIS Q15001では企業における全個人情報が対象で、JIS Q 27001では適用範囲内の情報資産全般になります。
以下に、
ISMS
とプライバシーマークの相違点(概要)を示します。
ISMSとプライバシーマークの相違点(概要)
マネジメントシステム名 | 情報セキュリティマネジメントシステム | Pマーク(プライバシーマーク) | |
---|---|---|---|
1 | 略称 | ISMS | PMS |
2 | 適用基準 | 国際標準規格 | |
ISO/IEC27001:2013 | – | ||
3 | 国際標準規格 | ||
JISQ27001:2014 | JISQ15001:2017 | ||
4 | 認証取得単位 | 事業所、部門・課、プロジェクト等 | 全社 |
5 | 審査申請 | 更新審査:3年ごと 維持審査:1年ごと |
更新審査:2年ごと |
6 | 要求事項 | 情報の機密性・完全性・可用性の確保 | 適切な個人情報の保護措置 |
7 | 保護対象 | 適用範囲内の情報資産全般(個人情報含) | 事業者内の全個人情報 |
8 | 基本方針 | 要求あり | 要求あり |
9 | 文書管理 | 要求あり | 具体的な要求なし |
10 | 記録管理 | 要求あり | 具体的な要求なし |
11 | マネジメントレビュー | 要求あり | 要求あり |
12 | 内部監査 | 要求あり | 要求あり |
13 | 継続的改善 | 要求あり | 具体的な要求なし |
14 | 不適合・是正・予防 | 要求あり | 具体的な要求なし |
15 | 教育訓練 | 力量(教育・訓練)、認識 | 従業者の教育(+個人情報保護方針の認識) |
16 | 責任・権限・体制 | 役割及び責任 | 体制及び責任 |
17 | 取得目的 | 事業継続 | 個人情報の保護措置 |
18 | 法規制管理 | 法規制管理 | |
19 | コンピュータウイルス対策基準、不正アクセス禁止法(無権限者による不正行為)・刑法・電気通信事業法など | JIPDEC 個人情報保護方針や個人情報の保護に関する法律についてのガイドラインなど | |
20 | 製品実現・運用管理 | 情報セキュリティの3要素 | 個人情報のOECD8原則保護措置 |
まとめ(留意事項)
プライバシーマークは、個人情報の漏洩対策として有効ですが、情報セキュリティ全般をカバーしているわけではありません。
情報資産(個人情報含む)の保護および有効活用、取引先や親会社等から認証取得要求がある、経営体質の強化、マネジメント力の改善など目的は組織によって様々です。セキュリティマネジメントシステムの導入を検討する場合は、取得動機を再確認し、保護したい情報資産にどのような情報が含まれるか、個人情報を取り扱う部署、取り扱う個人情報の量、マネジメントシステムの第三者認証 の必要性、プライバシーマークあるいは情報セキュリティマネジメントシステム(あるいは両方規格の認証取得)の運用の有効性、今後の事業計画(事業拡大)、ランニングコスト、導入効果など総合的な判断が必要です。
プライバシーマークや情報セキュリティマネジメントシステムの認証を取得する場合は、上記内容の他、規格の特徴や相違点を明確に理解した上で、組織の目的に合ったマネジメントシステムを導入することが重要です。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい