ISMSとプライバシーマークは何が違う? 概要や違いを解説
セキュリティの認証制度であるISMS(Information Security Management System)やプライバシーマーク。これらの制度の概要や違いを解説します。
ISMS制度とは?
Information Security Management System(情報セキュリティマネジメントシステム、ISMS)は、法人組織の情報セキュリティの取り組みが、国際規格に適合していることを証明する制度です(以降、ISMSと表記)。外部からのサイバー攻撃、内部犯行や管理不備による情報漏洩など様々な情報セキュリティに関する懸念がありますが、このような情報セキュリティリスクに対して、法人組織は適切な対策を行うことが求められます。
ISMSは、技術的対策に加え、従業員の教育・訓練、組織体制の整備など取り組むべき内容を「JIS Q 27001(ISO/IEC 27001)」としてまとめています。「ISO/IEC 27001」は、ISO(International Organization for Standardization:国際標準化機構)が発行する国際規格です。これを国内規格として発行したものが「JIS Q 27001」です。
よく「ISMS認証」という言葉を目にすることがあると思いますが、これは第三者であるISMS認証機関が、組織のセキュリティ対策がJIS Q 27001(ISO/IEC 27001)に基づいて適切に運用管理されているかを、審査し証明することです。ISMSに関わる組織を大別すると「認定機関」「認証機関」「ISMSの認証を受ける組織」です(情報マネジメントシステム認定センターの資料では、認証機関を審査する「要員認証機関」の記載もありますが、ここでは省略します)。
●認定機関:ISMSのとりまとめをしている組織、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
●認証機関:認定機関により認められた組織で「ISMSの認証を受ける組織」に対する審査を行う
●ISMSの認証を受ける組織:トレンドマイクロなどの法人組織
昨今サイバーセキュリティに関するインシデントが毎日のように発生し、こうした認証制度の重要性が高まっています。トレンドマイクロの調査では、2024年1月1日~2024年12月15日(350日間)の期間に、国内法人組織より公表されたセキュリティインシデントの総数は587件で、2023年の383件に対し大きく増加しました。2024年の件数を平均すると一日当たり、1.7件の被害が公表されており、毎日どこかで1~2組織がサイバー攻撃被害を公表している状態にあります。
図:国内組織におけるサイバー攻撃被害公表件数の推移
(公開情報を元にトレンドマイクロが整理。※2024年は12月15日時点)
このような状況を踏まえると、自社が適切なサイバーセキュリティ対策に取り組んでいるという発信の必要性は日に日に増していると言えるでしょう。ISMSを取得し、Webサイトなどにその旨を記載することで、適切な情報セキュリティ対策に取り組んでいることをお客様や取引先に対して発信できるというメリットがあります。なお、ISMS認証は法人全体で取得する場合もあれば、事業や部門、製品単位で取得することも可能です。認証の有効期限は3年で、3年ごとに認証の有効期限を更新する必要があります。加えて、年に1回以上の中間的な審査(サーベイランス審査)も必要です。一般社団法人情報マネジメントシステム認定センターの情報によると、2024年12月27日時点でISMS認証登録数は8,009件です。直近の2年3か月(2022年9月以降)で、約1,000件増加したということです。
プライバシーマーク制度とは?
プライバシーマークとは、その組織において個人情報を取扱う体制の構築とその運用が適切であるかを評価し、審査に合格した法人に対して認証を付与する制度です。2005年4月に全面施行され、現在3年毎に見直しが行われている「個人情報の保護に関する法律(個人情報保護法)」に準拠した適切な個人情報保護措置を講じていることを示している公的認証です。
関連記事:2025年の個人情報保護法改正はどうなる?
ISMSと同じように「付与機関」「審査機関」「プライバシーマークの認証を受ける組織」がありますが、審査機関や対象となる規格、情報、範囲が異なる点に留意してください。
●付与機関:審査機関を指定、監督する一般財団法人日本情報経済社会推進協会(JIPDEC:ジプデック)
●規格:日本産業規格 JIS Q15001
●対象:組織内で取扱う全ての個人情報
●審査機関:JIPDEC他プライバシーマーク指定審査機関
●プライバシーマークの認証範囲:法人単位(一部例外あり)
●更新:2年毎
2024年は、株式会社イセトー、株式会社関通、ライクキッズ株式会社、東京損保鑑定株式会社など個人情報を委託されている組織がランサムウェアをはじめとしたサイバー攻撃を受けるインシデントが多発しました。実際、委託先へのサイバー攻撃による個人情報漏洩の報告件数は176件と増加しており、漏洩した個人情報の件数は300万件を超えています。このような状況を受け、組織として個人情報を適切に取り扱う体制や運用を整えることが急務となっています。それらの安全管理措置が十分講じられているかを客観的に評価する方法の一つとして、プライバシーマークの取得が挙げられます。
図:委託先へのサイバー攻撃により漏洩した預託個人情報の件数とその報告数
(公表事例を元にトレンドマイクロにて整理、2024年12月15日時点)
※情報漏洩の可能性と言及されているものも含む
ISMSとプライバシーマーク、何が違う?
ISMSとプライバシーマークはどのような点が異なるのでしょうか?端的に言うと、ISMSは情報セキュリティ全般のマネジメント(技術的対策、組織的対策など)が適切であるかを評価するもので、プライバシーマークは「個人情報の取り扱い」が適切であるかを評価するものです。ISMSもプライバシーマークも取得する際には特定の事項が組織としてできているか否かを確認することになり、その際のチェックポイントが存在します。
例えば、ISMSでは「情報資産の棚卸と資産ごとのリスクが特定できているか」「リスクに対する対処方針を明確にしているか」「自社の情報セキュリティ方針を周知しているか」「情報セキュリティマネジメントに関して文書化しているか」「従業員に必要なスキルや意識を持たせるために教育を実施しているか」「監査を行い経営層に報告しているか」などの項目が実施できているかどうかを明確にする必要があります。
一方プライバシーマークは、JIPDECが公開しているPMS構築・運用指針※に基づいて個人情報を適切に取扱う体制が整えられているか否かを審査されます。「個人情報保護方針を公表しているか」「個人情報へのアクセス権限を管理しているか」「個人情報が漏洩しないような技術的な対策を講じているか」など、対外的に明示すべき情報や具体的な安全管理措置の内容を明確にする必要があります。
※一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」【JIS Q 15001:2023 準拠 ver1.0】
| ISMS | プライバシーマーク | |
|---|---|---|
| 認定・付与機関 | 一般社団法人情報マネジメントシステム認定センター (ISMS-AC) |
一般財団法人日本情報経済社会推進協会 (JIPDEC:ジプデック) |
| 規格 | JIS Q 27001(ISO/IEC 27001) | JIS Q15001 |
| 対象 | 情報資産 | 組織内で取扱う全ての個人情報 |
| 認定範囲 | 法人全体もしくは事業や部門、製品単位 | 法人単位(一部例外あり) |
| 有効期限 | 3年間(但し、年に1回以上の中間的な審査 (サーベイランス審査)も必要) |
2年間 |
表:ISMSとプライバシーマークの違い
ISMS、プライバシーマークは取得したら終わりではない
ISMS、プライバシーマークそれぞれの概要と違いを見てきましたが、どちらにも共通して言えることがあります。それは認証を取得して終わりではない、ということです。どちらも対策ができているかを定期的に確認して、適切に管理ができていないようであれば是正していく必要があります。また、組織内の一人ひとりや委託先の協力が得られなければ、体制を整えても対策が十分とは言えません。先ほど、「自社が適切なサイバーセキュリティ対策に取り組んでいるという発信」が非常に重要であることを述べましたが、「実際に適切な対策が取れているかどうか」のほうが重要であることは言うまでもありません。
前述の株式会社イセトーでは、ランサムウェア攻撃によって委託元の個人情報が漏洩しましたが、同社は後日Webサイトにおいて、「業務終了後には速やかに削除すべきデータを削除することができていなかった」ことを公表しています。また、「今般の事態を受け、ISMS審査機関であるBSIグループジャパン株式会社の特別審査が行われ、当社が取得する情報セキュリティマネジメントシステム認証(ISO27001認証)及びクラウドセキュリティ認証(ISO27017認証)を一時停止する旨の通知を受けた」ことも言及しています(その後一時停止は解除)。さらに、一般財団法人日本情報経済社会推進協会(JIPDEC)が、株式会社イセトーに対して、プライバシーマーク付与の一時停止(3か月間)の措置を行ったことも公表しています。
参考記事:データ・サプライチェーンとは?マネジメント上の課題を解説する
認証が求める要件を適切に運用していれば、こうした被害を防ぐことができた可能性があります。認証取得と言えば社会的アピールという考えが先行するかもしれませんが、認証を取得するまでの社内活動を通じて、自社のセキュリティの現状を見直し、要件に合致するよう対策を取り、その結果自組織のサイバーレジリエンスを向上させることができる良い機会と捉えることもできます。また、すでにこれらの認証を取得した組織にとっても、維持審査や更新申請は、自社の取り組みを棚卸し、適切に運用できていない箇所を改善する良い機会と言えるでしょう。
運用が始まってからの個人データの取扱状況を把握する際、定期的な監査(1年1回のチェックシートの送付、実地でのヒアリングなど)は多くの場面で実施されていますが、初期に取り決めたチェック項目から数年変更がないというケースも多いのではないでしょうか?法律・ガイドラインなどの変更、サイバー攻撃の手法の変化などに鑑みて、都度その時点で有効なセキュリティ要件・対策が何なのか、またそれは委託先で満たされているのか、という観点で見直しをしていくことが重要です。
高橋 昌也
トレンドマイクロ株式会社
シニアマネージャー
PCサーバ Express5800、ファイアウォール、ネットワーク検疫、シンクライアントのプロダクトマーケティングマネージャーに従事した後、2009年にトレンドマイクロ入社。
2012年当時、業界に先駆けて日本国内への標的型攻撃(APT)について、統計データを用いた情報発信をリード。
現在は、リサーチャーと連携し、サイバーリスクマネジメントやAIセキュリティに関する情報発信を行う。
取引先への個人情報監査やサプライチェーンリスクマネジメントも担う。
主なメディア出演:日本テレビ(NEWS ZERO)、フジテレビ(めざましテレビ)、テレビ朝日(報道ステーション)、TBS(林先生が驚く初耳学!)、日本経済新聞、朝日新聞、毎日新聞、読売新聞、産経新聞など
