ISMSとは一体何?取得しているとどんなメリットがあるの?

プライバシーマークと同様、社内のセキュリティーに対する取り組みの指標となるISMS(情報セキュリティマネジメントシステム)とは何?取得しているとどんなメリットがあるのかについての記事です。

難しい話で丁寧に説明してくれているウェブサイトは一杯ありますので、当サイトとしては取得方法!!等よりもユーザー側にとってどんなメリットがあるか?に重点をおいていきたいと思います。

お小遣いサイト利用者の認識については、この位でいいと判断しています。

ISMSとは

ISMS(情報セキュリティマネジメントシステム)とは、組織(法人・企業)が顧客の情報資産(個人情報・登録情報等)を守る為のルールを定め、認証機関の審査を通過して取得できるものです。

情報セキュリティーについてマネジメントする事、このルー語みたいなのがわかりにくくしているけど、ISMSでやらないといけない事は、PDCAサイクルを回して継続的に改善しつづける事が一番です。

PDCAとかオフィス以外で聞きたくねぇよ的な言葉ですが、Plan(計画)⇒Do(実行)⇒Check(評価)⇒改善(Action)を繰り返しなさいという事です。

例にすると新しいウィルスが世に出回った場合、そのウィルスに対して会社ではどのように対処するか計画(Plan)し、それを実行(Do)、実行してウィルスに対策できたか(Check)、最後により良い方法で対策できないか(Action)を行い、それを継続的に繰り返す事がPDCAです。

ISMSを維持する為にやらないといけない事ですので、どうやってもやる必要がある為、継続的に改善が見込まれる、これがISMSの特徴ですね♪

実施する内容をISMSの規格内で決める事ができますので、企業にあったセキュリティーの取り組みを行う事ができます。

例えばですが、当サイトはお小遣いサイトブログ、私が法人だとして、プログラムコードのセキュリティーを守るとか、現状意味がない事は対策範囲外で、当サイトにコメント頂いた方々のメールアドレスを守る、実名でコメント頂いた方をイニシャルに変更する、全SSL化して個人情報を守るとか、そういった事を対策として、PDCAを回すでISMSの審査を受ける要素の1つとする事も可能です。

プライバシーマークとの違い

こういったシステム、プライバシーマークというものがありますが、ほとんど一緒だと感じませんか?

当サイトでもプライバシーマークを取得している企業において、プラスの判定をつけていますが、ISMSと何が違うのか?

プライバシーマークは、個人情報の不正利用に対し社内に一定水準の教育・審査を行いセキュリティーに対する取り組みを行うのに対し、ISMSは個人情報を含めた企業全般のセキュリティー水準を上げる為に社内に一定水準の教育審査を行いセキュリティーに対する取り組みを行います。

極端に言えばプライバシーマークは個人情報に特化し、ISMSは広く浅く、セキュリティーに対する取り組みを行う必要があります。

ただ、ISMSはISMSのルールの中で自社で定める基準を守るというのが基本概念ですので、プライバシーマークよりもより厳しくする事も可能です。

例えばですが、お小遣いサイトでは登録情報という個人情報を取り扱いますが、個人情報以外にも文章等の情報、相手企業の情報、広告を取り扱った履歴に関する情報、資産情報等、それら全てのセキュリティーに対する概念をプライバシーマークの制度が全てある一定水準のルールを敷いている訳ではありません。

そこでISMSのような、情報資産に対するセキュリティーに全般に対する取り組みを行う事で、より社内にセキュリティーに対する取り組みを厳格化する事も可能という事です。

費用面

プライバシーマークもISMSも、両方費用がかかるものです。

プライバシーマークについては取得に30～60万円、2年ごとに5万円程度かかります。

ISMSについては取得に170万、年1回審査がありやく50万、3年ごとの更新に65万円かかります。

…費用からみてもISMSの方が非常に高価ですね。高いからいいってもんじゃありませんが、企業としてはなんとなくISMSの方がカッコイイからで取得できるような安いものではありませんので、ちゃんとセキュリティーに対する取り組みを行うでしょう。

なにより1年に1回の審査を通過する必要がありますので、その度に教育がされるのではないでしょうか。

ただこれは費用面の話で、実際は両方とも担当者をおく、多分幹部社員さんとかじゃないでしょうか?そういった方々の人件費、社内教育に必要な工数等、それ以上に費用がかかることも多いです。

ですので当サイトとしては、プライバシーマークとISMSを両方取得したからサービスの質が悪くなるというのは本末転倒だと判断していますので、過度なセキュリティー対策は良しとはしていないです。

まとめ

プライバシーマークは個人情報に特化、ISMSは情報資産全般に対してセキュリティーに対する取り組みを行うものです。

近年のサイトでは、個人情報だけではなくその他の情報についても取り扱う為、プライバシーマークからステップアップしてISMSに移行するサイトもあります。

ただどっちが良いかという優劣は少なく、両方取得している企業もありますし、プライバシーマークのみの企業もあります。

いずれにしても無いよりかはあった方が良いですし、企業を圧迫してまで両方取得する必要はないです。

以上、ISMSについて、簡単ではありますが説明しました。