ISMSをPMSと併用するときのうまい導入の仕方や良い方法などあれば、お教えいただけないでしょうか。
既にPMSを運用しており、今後、さらに個人情報以外にも社内のセキュリティシステムを固く守って運用できるようISMSも併用で取ろうしています。
そこで、ISMSをPMSと併用するときのうまい導入の仕方や良い方法などあれば、お教えいただけないでしょうか。
既にご存じかと思いますが、ISMSから見た場合、個人情報はISMSで管理する情報資産の一部となります。
ISO/IEC 27002:2013(情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範)の「18.1.4 プライバシー及び個人を特定できる情報(PII)の保護」という項においても、規定されています。
よって、既存のPMSに合わせるというよりは、ISMSを構築した中に、PMSで組み入れるという形になるかと思います。
ISMS要求事項の中には、PMSと同じような要求事項(文書管理や内部監査など)がありますが、プライバシーマークは、ISO規格ではないため、内容も若干異なっています。
プライバシーマークは国内規格であり、ISMSは国際規格であるため、通常、審査機関は異なります。
審査機関が異なれば、統一されたマネジメントシステムで、それぞれ別の指摘を受けたときの対応が難しい場合もあります。
仮に、社内規程としてPMSとISMSを統一される場合は、それぞれの規格改訂にも、注意が必要となってきます。
もし、御社がプライバシーマークの受審されている審査機関が、ISMSも取り扱っているようであれば、相談されるのが一番良いかと思います。
そうでなければ、組織の情報資産を守るシステムとして国際規格のISO/IEC 27001に準拠したISMSを構築し、情報資産の中でも「個人情報の保護および取扱い」に関しては、国内規格のJISQ15001に準拠したPMSを構築、運用するといった体制イメージをされた方が良いかと思います。