セキュリティ対策が必要なことはわかっているが、どこまでやればよいのかわからない。
せっかく取り組むのであれば、内部的な管理体制強化とともに外部にアピールできるレベルにしたい。
そういった組織の方々には、
第三者認証として「Pマーク」と「ISMS」をツールとして利用し、
業界の標準を理解した上で組織の業態や規模にあったレベルで取り組むことをお勧めします。
※「プライバシーマーク制度」は、一般財団法人日本情報経済社会推進協会(JIPDEC)が、
個人情報を適切に取り扱うことのできる企業や団体(事業者)を審査し認定する制度です。
https://privacymark.jp/
※ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、
組織が情報セキュリティに関して自らのリスク分析により必要なセキュリティレベルを決め、
プランを作成し資源配分してマネジメントするものです。
https://isms.jp/isms.html
当社では、単に認証取得や更新支援だけでなく、
無理なく有効に活用できる仕組みの構築・運用をサポートします。
Pマークは、個人情報の保護を対象としており、ISMS(情報セキュリティマネジメントシステム)は、
対象範囲を自社で決めることができます。
⇒重要な情報資産をリスク評価し、そのレベルに応じて対策の強度も決定。
<Pマーク・ISMSを取得すべき組織>
Pマーク:個人情報を取り扱う組織
特にBtoCで個人情報を取り扱う場合は、
第三者認証を取得することで、お客様やその先の消費者
に安心していただくことができます。
ISMS:個人情報以外にも自社で重要な情報を取り扱う組織
特に、以下のような場合に有効です。
⇒BtoBでサービスを提供している。
⇒ある程度の規模以上の法人に対してビジネスを行っている。
⇒海外との取引がある。
⇒社員に情報セキュリティの意識を浸透させたい。
情報セキュリティ意識の高い企業であることをアピールしたい。
<Pマーク・ISMSの構築に必要な主な管理項目>
マネジメントシステムとしてはほぼ同じ。Pマークの特徴としては、手続面で必要な遵守事項がいくつかあること(※1)。
ISMSは、Pマークを運用している組織であれば、マネジメントシステムは整備されているので、
保護の対象範囲を広げ個人情報以外の情報資産も含めて会社全体で効率よく情報セキュリティ体制を整備できます。
PマークもISMSも取得自体は難しいものではなく、
問題は組織に合った継続的に改善できる仕組みを作り上げることです。
経営に役立つツールとして活用できるよう専門家としてサポートいたします。