ISMSをPMSと併用するときのうまい導入の仕方や良い方法などあれば、お教えいただけないでしょうか。
既にPMSを運用しており、今後、さらに個人情報以外にも社内のセキュリティシステムを固く守って運用できるようISMSも併用で取ろうしています。
そこで、ISMSをPMSと併用するときのうまい導入の仕方や良い方法などあれば、お教えいただけないでしょうか。
ご質問ありがとうございます。既にPMSの土台がある場合、ISMSの導入はゼロからの構築よりもスムーズに進められます。しかし、単純にルールを2つ作ってしまうと、現場の運用工数が倍増してしまいます。
実務負担を抑えつつ、相乗効果を生むための「3つの戦略」を提案します。
1. 管理体系のイメージ:ISMSの中に個人情報を「包含」する
ISMSから見ると、個人情報は組織が保有する「情報資産」の膨大なリストの一部に過ぎません。そのため、ISMSという「大きな器」の中に、個人情報保護という「特定のルール(PMS)」を組み込む形が最も自然です。
- 資産管理の統合:
ISMSの「情報資産台帳」の中に「個人情報」という属性を設け、ISMSの資産管理プロセスで一元管理します。 - 安全管理措置の参照:
Pマークで求められる具体的な安全管理措置(物理的・技術的対策)は、ISMSの「情報セキュリティ管理規程」を詳細に作り込み、PMS側からその規程を参照する形にすれば、内容の重複を避けられます。
ISO/IEC 27002:2023の「5.3 プライバシー及び個人を特定できる情報(PII)の保護」という項においても、規定されています。よって、既存のPMSに合わせるというよりは、ISMSを構築した中に、PMSで組み入れるという形になります。
2. 「共通プロセス」を統合して工数を削減する
ISMSとPMSには、多くの共通する要求事項があります。これらを「共通マネジメントシステム」として統合することで、運用の効率は劇的に向上します。
- 文書管理・記録管理:
文書の承認フローや保存期間のルールは一つにまとめます。 - 内部監査・マネジメントレビュー:
ISMSとPMSの監査を同時に実施する「合同監査」がお勧めです。一度のヒアリングで両方の規格への適合性を確認でき、経営層の拘束時間も短縮できます。 - 教育:
「情報セキュリティ教育」の中に「個人情報保護」のセクションを設けることで、従業員の学習負担を減らせます。
3. 注意点:審査機関と「規格の差異」
併用・統合を進める上で、実務的に注意すべき点が2つあります。
- 審査機関の選定:
Pマークは国内規格(JIS Q 15001)、ISMSは国際規格(ISO/IEC 27001)であり、審査機関が異なるのが一般的です。可能であれば、両方の認証を取り扱っている審査機関に依頼すると、統合的な視点でのアドバイスが得られやすくなります。 - リスクアセスメントの手法の違い:
ISMSは「脅威・脆弱性」に基づいた詳細なリスク分析を重視しますが、PMSは「特定した個人情報に対する管理策」を重視します。ISMSのリスク分析シートの中で、個人情報に対してはPMS特有のチェック項目を組み込むなど、ワークシートの工夫が必要です。
まとめ:理想的な導入ステップ
PMSとISMSを統一される場合は、それぞれの規格改訂にも、注意が必要となってきます。
組織の情報資産を守るシステムとして国際規格のISO/IEC 27001に準拠したISMSを構築し、情報資産の中でも「個人情報の保護および取扱い」に関しては、国内規格のJISQ15001に準拠したPMSを構築、運用するといった体制イメージをされた方が良いかと思います。
まずはISMSをベースとした「情報セキュリティ基本規程」を最上位に置き、その下に「個人情報保護規程(PMS)」を個別ルールとしてぶら下げる構成を目指してください。
弊社のサンプル文書集では、ISMS(箇条4〜10)とPMSの親和性を考慮した構成を採用しています。
- ISMSサンプル文書: 組織全体のセキュリティ・ガバナンスの構築に活用。
- PMSサンプル文書: 法規制(個人情報保護法)への厳格な対応に活用。
無理にすべての文書を一つにまとめようとせず、まずは「台帳」「教育」「監査」の3点から統合を始めるのが、今年度中の構築を成功させる近道です。
参考ページ
以下に、同じような質問に関するページをご紹介します。あわせてご参考ください。
