「Pマーク」とは、個人情報の適切な取り扱いを示す指標の一つです。現代の情報社会において、個人情報保護の重要性は非常に高まっています。個人情報の漏洩などのセキュリティ事故が多発している今日だからこそ、Pマークを取得していることで、企業は顧客からより高い信用を得られるきっかけを持つことができます。
本稿では、Pマーク(プライバシーマーク)の概要を解説し、取得するメリットや同様の制度であるISMSとはどのような違いがあるのか、そしてPマーク取得のために必要なセキュリティ対策を紹介していきます。
Pマーク(プライバシーマーク)とは
まず、Pマーク(プライバシーマーク)の制度の概要から理解を深めていきましょう。企業が個人情報保護を徹底するうえでPマークの取得は、大きなメリットがあります。
Pマーク制度の概要
Pマークとは、プライバシーマークの略称で、個人情報保護の体制を整備している事業者などを評価する制度を指します。事業者が日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に基づいた個人情報保護マネジメントシステム(PMS)を定めているかなど、いくつかの条件のもと評価されます。
Pマークは一般財団法人日本情報経済社会推進協会(JIPDEC)が認証・発行を行いますが、審査や認証付与について適格かどうか判断は、JIPDECによって指定されたプライバシーマーク指定審査機関が行います。
Pマーク制度により、適切な個人情報保護体制を整備しているという認定を受けた事業者は、事業活動の際にPマークを表示するなどのアピールをすることが可能となります。
では、Pマーク制度は、どのような目的からスタートした制度なのでしょうか。基本的なことですが、事業者の個人情報保護に対する意識向上と、その体制づくりに事業者が自発的に取り組む仕組みづくりが目的となっています。
情報社会の発展に伴い、個人情報の入手がより簡単になった現代では、個人情報保護の体制を整えていくことは必要不可欠なことです。そのため事業者においては、個人情報保護の体制を整備し、Pマークを取得することは、社会からの信用を得る一つのきっかけとなります。
Pマークを取得するメリット
Pマークを取得することの具体的なメリットは以下の通りです。
- 対企業や対消費者へのPR
- Pマーク取得企業からの業務の受注
- 公的な入札への参加
Pマーク制度は、消費者が企業の信頼性を見るための評価制度とイメージされがちですが、Pマークの取得は消費者へのPRにつながることだけがメリットではありません。
Pマークを取得していれば、消費者に対してだけでなく、企業に対しても良いPR効果になります。同じようにPマークを取得している企業との取引を円滑にし、信頼関係をもとに仕事の受注につながるなどの期待が持てます。
また、公的な入札に参加する際、官公庁は参加事業者に対してPマーク取得を条件として提示している場合があります。Pマークを取得していれば、入札に参加できる機会が増え、売上向上に直結する可能性もあります。
Pマークの取得方法
Pマークの取得は、大まかに以下のような流れになります。また、取得に至るには費用もかかります。
- 申請準備をする(PMSの構築と運用)
- 必要書類の提出
- 現地審査の実施
Pマークを取得するための「プライバシーマーク付与適格性審査」を申請するには、個人情報保護マネジメントシステム(PMS)の構築と運用が前提です。また、申請できるのは国内に活動拠点を持つ民間事業者で代表者を含む正社員が2名以上の事業者のみとなります。そのうえで必要書類をそろえ、申請します。すると申請書類をもとにPマーク取得のための審査が開始され、事業者に対して現地審査が行われます。個人情報保護の管理体制が整備されているかの判断がなされ、最終的にPマーク取得の可否が決定される流れです。
Pマーク取得の際には、いくつかの費用がかかります。最初に必要となるのは、PMSの構築と運用を行ううえでの諸費用です。必要に応じて導入するセキュリティソフトウェアのライセンス費用のほか、セキュリティ機能付きのロッカーやシュレッダーの購入費などが含まれます。
Pマーク取得に向けたコンサルティングを専門業者へ依頼する場合は、コンサルティング費用もかかります。
ほかにも、申請料、審査料、Pマークの付与登録料が必要となり、事業者の規模によって異なりますが、Pマークを新規に取得する際の費用の合計額は30万円~120万円程度となります。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
PマークとISMSの違い
Pマークと同様の制度として、ISMSという個人情報保護を含む情報セキュリティに関するマネジメントシステムを評価する制度も存在します。Pマークと具体的にどのような違いがあるのか、PマークとISMSのどちらを取得すべきなのか、ポイントを整理していきましょう。
ISMSとは
ISMSとは、「Information Security Management System(情報セキュリティマネジメントシステム)」の略称です。一般的に、情報セキュリティマネジメントシステムへの評価を行う団体である「一般社団法人情報マネジメントシステム認定センター」が運用を行う制度「ISMS適合性評価制度」を指します。
ISMS適合性評価制度とは、ISMSの要求事項をまとめた規格のJIS Q 27001:2014に基づく、企業などの事業者に対する情報セキュリティマネジメントシステムの評価制度です。情報資産の保護についての対策や運用、体制の整備などが要求事項に適合しているかが評価されます。
情報セキュリティとは、機密性、完全性、可用性の3つの基本要素が確保されていて成立します。重要な情報が外部に流出しないように管理する権限を持つ者だけが閲覧・処理できるようになっていること(機密性)、外部からの情報の改ざんや消失を防ぐこと(完全性)、必要なときに情報が使用できるようになっていること(可用性)、これらを維持することが情報セキュリティ確保の際に求められます。
ISMS適合性評価制度は、この情報セキュリティ確保の観点から、企業などの事業者を評価する制度にあたります。
PマークはISMSとはどう違うか
では、PマークとISMSにはどのような違いがあるのでしょうか。似た制度として混同されることがありますが、主に以下の違いがあります。
- 規格
- 保護の対象
- 評価の対象
まず、PマークとISMSには規格の違いがあります。Pマークは日本産業規格という国内規格のみに準拠しており、これに対してISMSは国際標準規格と日本産業規格両方に基づいた適合評価制度となっています。
また、保護の対象にも違いがあります。Pマークの場合、保護対象は個人情報にとどまりますが、ISMSの場合は、個人情報を含む情報資産が対象です。ISMSの方が、より広範囲な情報を対象としたマネジメントシステムの構築が求められます。
もう一つの違いとしては、誰を対象として評価する制度なのかという点も異なります。Pマークは企業全体が対象となりますが、ISMSの場合は事業所単位、部門単位、事業単位での取得が可能です。
PマークとISMSのどちらを取得すべきか
では、前項のPマークとISMSの違いを踏まえたうえで、どちらを取得すべきなのかを整理していきましょう。PマークとISMS、それぞれどのようなケースに向いているのかを簡単に説明します。
個人情報の保護だけを対象とする場合は、Pマークの取得が選択肢になります。国内向けに事業活動を行っていて、個人情報保護を徹底するという企業に向いているといえます。また、事業活動においてPマーク取得が必須条件となった際に、申請を行う企業も多いようです。
一方、個人情報の保護だけでなく、全ての情報資産に対するマネジメントシステムを確立したり、国内だけでなく国外に対してもPRを行いたい場合は、ISMSの取得になるでしょう。なお、個人情報の保護を主とした取り組みであっても、より幅広く且つ厳密なマネジメントシステムの構築を目指し、ISMSが選定されるというケースもあります。
どちらが良いということではなく、保護・評価の対象と制度を正しく理解し、選定するようにしましょう。
Pマーク取得のためのセキュリティ対策
さて、Pマークを取得するためには、セキュリティ対策として具体的にはどのようなことが必要になるのでしょうか。Pマーク取得を目指す際には、当然ながら個人情報保護のシステム強化を含めた、マネジメントシステムの構築が求められます。その具体的な対策を見ていきましょう。
Pマークで求められる物理的な対策
Pマークを取得する際には、まず、物理的なセキュリティ設備を整える必要があります。個人情報はさまざまなきっかけから流出するおそれがあります。それを防ぐために必要なものとして、例えば以下のような設備は重要な役割を果たします。
- 鍵付きロッカー
- シュレッダー
- パソコン用のワイヤーロック(盗難防止)
- パーテーション
- 無停電電源装置(UPS)
鍵付きロッカーで書類などの管理を行えば、鍵を扱える人やパスワードを知っている人を制限できるため、情報の持ち出しなどの防止につながります。また、個人情報破棄のフローが曖昧な結果、情報漏洩が起こることも多いため、使用と破棄の取り扱いを明確にし、シュレッダーも配備しておきましょう。パソコン用のワイヤーロックは、盗難防止のための対策として役立ちます。
その他にも、災害などの非常時にはUPSや耐震ストッパーなどが役立ち、個人情報のセキュリティ対策としても必要な設備となります。
Pマークで求められるシステムの対策
個人情報を取り扱ったり、保管されるWebサイトやパソコンなど、システム面での対策としては、
- Webサイトのセキュリティ対策
- 個人情報取り扱いについてのポリシーの明示
- セキュリティソフトウェアの導入
これらのことがPマーク取得のためには求められます。
ファイアウォールなどのネットワーク機器でアクセス制御を行うのはもちろんのこと、WebサイトのSSL化により、Webサイト上で送受信される個人情報などのデータを暗号化し、保護する必要があります。
また、Webサイトに個人情報保護方針を公開することも必要です。メールフォームを設置するなど、個人情報を収集する際には個人情報保護方針への同意確認項目を設けることも重要です。
さらに、ECサイトなどの運用では、Webアプリケーションの脆弱性を悪用した攻撃による個人情報の窃取やサイト改ざんの被害に遭わないように、Webサイトをセキュアに構築する必要があります。定期的にセキュリティ診断を受けるようにしたり、セキュリティツールとして、WAFを導入することも選択肢になるでしょう。
マルウェア感染によって、パソコンの制御が奪われたり、情報流出が発生しないようにするためには、ウイルス対策ソフトの導入を徹底することも必要です。
まとめ
Pマークは、個人情報保護の体制を整備している企業などの事業者に対して、評価を行う制度です。Pマークの取得は、個人情報保護が重要視される昨今、企業にとってメリットがあります。他の事業者や消費者へのPRになるだけでなく、企業内における個人情報保護への意識向上にもつながります。
肝心なのは、Pマーク取得がゴールではないことです。残念ながら、Pマーク取得事業者による情報漏洩は珍しいことではありません。Pマークの表示による対外的なアピールという気持ちだけでは、個人情報保護のための適切な運用はできません。
従業員教育によって、制度の理解や個人情報保護の意識向上に努めるほか、マネジメントシステムを維持し、見直していく取り組みが求められていることを忘れないようにしましょう。
EGセキュアソリューションズ株式会社では、脆弱性診断サービスを提供しています。このほかにも、純国産WAF「SiteGuardシリーズ」を開発・販売しており、Webアプリケーションの脆弱性への対策が可能です。SiteGuardシリーズではクラウド型、ホスト型、ゲートウェイ型をご用意しており、様々な要件に対応することが可能です。
Webアプリケーションのセキュリティ対策をご検討の際は、ぜひ当社までご相談ください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
