- 締切済み
プライバシーマーク(Pマーク)とISMSの関係
来年より完全施行される、個人情報保護法の対策で質問です。 ISMSを取得している企業にプライバシーマーク(Pマーク)の取得は有効なのかが不明です。 Pマークの取得をした企業が、次にISMSを取得するという流れが一般的だと思うのですが、ISMSを取得していて、Pマークを取得していない場合は、やはり取得しておいたほうが良いのでしょうか? ISMSがPマークの内容をカバーしているのかどうか、教えてください。 薄識で申し訳ございません。
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- manshu
- ベストアンサー率53% (49/92)
物理的、論理的セキュリティの面では、ISMSはPマークよりも具体的かつ厳しい要求がありますので、ISMSはPマークをカバーしていると言っていいでしょう。 Pマークにあって、ISMSにない部分は、情報主体(個人情報の本人)との様々な手続きです。 例えば、個人情報収集時の、情報主体への目的通知や、情報主体から個人情報開示の要求がきた場合の対応などです。 個人から個人情報を収集するような企業であれば、Pマークを取得した方が対外的にも良いといえますが、それ以外であれば、ISMSで充分といえます。
ISMS、Pマーク両方とも社内事務局として構築して認証取得まで携わったものです。 詳細については「ISMS]と「個人情報保護」をそれぞれ検索してください。難しい表現でかかれているHPもありますが、いくつか見れば判ると思います。 有効かとの質問ですが、社外アピールのためは2つ取っていたほうが、当然アピール度は高いと思います。 また、社内のセキュリティ強化のためなら、質問にあるようなISMSがPマークを確実にカバーできるような仕組みを作れるならISMSだけでも十分かなと思います。 ただしこれは、セキュリティ強化のためであるので、 Pマークを認証していれば、ISMS構築時の個人情報保護法に関する遵守の仕組みができあがってますが、逆にISMSだけの要求事項で個人情報に関して仕組みを作っても、それを抜き出しただけでPマークが認証できるかと言うと、それは無理です。 Pマークの認証に必要なコンプライアンスプログラムに関する要求事項はISMSと若干違う部分があるので。 ちなみに12月よりPマークの審査費用が上がりますね。
- lahalito
- ベストアンサー率48% (31/64)
>ISMSがPマークの内容をカバーしているのかどうか、教えてください。 Pマークは、個人情報の収集時に収集目的を明示したり、情報を目的外に使用しないなど、個人情報に対する扱いに特化していますので、ISMSと部分的にはカバーしているとは思いますが、完全ではないと思います。 個人的には両方取得するのは有効であると思います。
お礼
そうですよね、完全にカバーはしていないですよね。 個人情報の取扱いに対して社員が意識するように、取得を目指します。ありがとうございました。
お礼
>ISMSだけの要求事項で個人情報に関して仕組みを作っても、それを抜き出しただけでPマークが認証できるかと言うと、それは無理です。 やはりそう判断されますよね。上司に取得を打診してもISMSでカバーしてると言っていますが、私はそう思えなかったので、整理がつきました。ありがとうございました。 審査費用、結構法外な金額ですよね。倍ですもの。 中小企業の不況の立場を理解して欲しいところです。