BCN(社長・奥田喜久男)は2月18日、東京・四谷の主婦会館プラザエフで「第4回BCNフォーラム」を開催した。昨年11月に続き今回も2つのセッションで構成し、第1部では「PマークかISMSか」をテーマに、個人情報保護法の全面施行を控えプライバシーバーク(Pマーク)とISMSの認証取得に関しTBCソリューションズの朝賀康義・チーフコンサルタントに、第2部では「中国IT最新事情とソフト開発の現状」をテーマに、米IBMと中国レノボグループの戦略についてキング・テックの王遠耀・代表取締役社長にご講演頂いた。第1部の講演要旨を今週、第2部の講演要旨を来週の2回に分けてレポートする。(田澤理恵●取材/文)
「PマークかISMSか」
■個人情報保護法施行を控え
個人情報保護は認識に温度差 昨年暮れ以降今年1月に入ってから、個人情報保護法施行に向けた問い合わせが非常に多くなっている。1日に2-3件飛び込みの問い合わせがあるが、個人情報保護法に関しての認識には人によって温度差があると感じている。
「ISMSか、Pマークか、どちらを取得すれば良いのか」という問い合わせや、「世の中でPマークが話題だから」という理由でPマークを問い合わせて来られるケースが多い。それらの質問に対し、「どんな情報を、どのくらい自社で保有しているか」という質問を聞き返すが、実際に個人から情報をもらっている会社はほとんどないことが多い。
ISMSとPマークのどちらを取得すれば良いのかは、究極の選択のように感じるが、しかし取得する目的がそれぞれ違う。ISMSの目的は、事業者の情報資産を守ることで、Pマークの目的は、その会社が預かっている個人の情報の権利を守ることにある。
ISMSは、もともと英国の「BS7799」(日本で例えるとJIS規格)がベースになっている。英国はかつて、情報に関して世界の最先端といわれていた時代があり、第2次大戦後10年間ほどは米国よりも情報に関しては優れていた。
■個人の権利を守るPマーク それに対しPマークは、1980年のOECD(経済協力開発機構)8原則がベースになっている。もともとは個人情報の国際流通と保護の8原則で、その後、EU(欧州連合)各国で個人情報保護法ができ、日本でも個人情報保護法ができた。
Pマークとは何かというと、もともとは個人の権利を守ることにある。これは、「自己情報コントロール権」という。本人が自分自身の情報についてどう使うかを決め、自己情報コントロール権で、「自分の情報をどのように使用して良いか」、「必要な範囲で情報を利用して良い」、「正確に情報を持っていて欲しい」、また「どう管理しているか」など、自分自身で情報をコントロールできる権利が自己情報コントロール権である。
個人情報の利用安全性の確保、個人情報のリスク、喪失、破壊、改ざん、漏えいなどに対して、合理的な安全対策を施すことが求められる。Pマークは、顧客から直接情報を得ている会社が全社に適用するもので、個人情報の収集の仕方や利用目的の設定の仕方、問い合わせに対して全社の部門が関与する。
■ISMSは企業の情報資産保護 一方、ISMSは事業者にとって重要な事業に適用する規定であり、企業の情報資産の安全保護と会社の事業継続性を確実にすることが目的となる。ISMSの価値が付けられるものはすべての情報資産が対象といえるが、これを含めて適用範囲を洗い出し、優先順位を決めていく。例えば、預かっているデータの漏えいや壊れることを一番恐れる場合は、それを重要事項のAランクに位置づけて、この情報のみを守るということができる。適用範囲は組織全体でなくても良い。
ISMSの取得には、審査登録機関に申請して審査を受ける。構築期間は6-9か月で、審査期間は3-4か月が必要となる。構築前に審査日を決められるため、ISMSおよびPマークのいずれかのマークを早期に取得することが目的であればISMSを勧める。理論的には最短4か月で取得できる。
Pマークは日本情報処理開発協会(JIPDEC)に申請して審査を受ける。構築期間は4-5か月で、教育、内部監査など全部が完了してから審査を受けるシステムになっている。現在かなり混雑していることから、半年以上の審査期間が必要となり、現状の取得までの時間は最低でも1年はかかるだろう。
それぞれの費用は、維持費、更新などを除く初回の費用は、30-50人規模の中小企業でISMSが約150-200万円、Pマークが約30-60万円くらいとなる。要するに審査の工数がISMSに比べてPマークは3分の1から4分の1程度ということになり、ISMSの方がリスク評価が厳しいと捉えられるため、セキュリティレベルが高いという考え方もある。
ISMSかPマークのどちらを取得するかは、ビジネスの主要局面がBtoBであればISMS、BtoCであればPマークというように考えて欲しい。
