「ISO27001かプライバシーマークどちらを取得すべきか?」というご質問は、わたくしどもが頂くご質問の中でも、一番多いご質問かも知れません。ネットでいくら検索されても、結論が出ない問題ですね。
ここでは分かり易く解説します。まずは目的が違いますので、基本的なことを見直してみましょう。
プライバシーマークの目的
プライバシーマークの目的は、事業者へ個人情報を預けている個人の権利を守るための仕組みです。もちろん、お客様情報だけではありません。社員の情報など事業者が保有する、全ての個人情報が対象となります。
ここで「個人情報を預けている個人の権利を守る」とはどういう事なのか?身近なことで考えて見ましょう。
例えば貴方が友人から高級外車を預かったとします。自分の年収の何倍もする高級外車を預かったと考えてください。
まずは盗難防止を考えますよね、また子供が傷をつけないようにしませんか?
その高級外車を持ち主に黙って又貸ししたりしませんよね。そんな時は必ず持ち主に確認を取られると思います。
分かり易くするために上記のような事例でご説明しましたが、これと事業者が預かる個人情報の適切な取扱い方法は考え方が非常に似ています。盗まれないように安全管理策を講じます。そして、事前に同意を得たうえで自分達の事業で利用します。
こういった仕組みを作るのがプライバシーマークです。
ISO27001の目的
一方でISO27001の目的は、自社の情報資産の機密性・完全性・可用性を安定的に運用することです。
- 機密性;情報資産を正当な権利を持った人だけが使用できる状態にしておくこと。
(情報漏えい防止、アクセス権の設定などの対策)
- 完全性;正当な権利を持たない人により変更されていないことを確実にしておくこと。
(改ざん防止、検出などの対策)
- 可用性;情報資産を必要なときに使用できること。
(電源対策、システムの二重化などの対策)
どちらが優先と考えるべきか?
如何ですか、もう少し分かり易くご説明すると「預かりものの個人情報」を守るのか、「自社の情報資産の確保と安定性」を守るのかという違いになります。
どちらにリスクを感じていらっしゃるかも取得の見極めとされる場合が多いですが、外部の課題というのも検討されるべきでしょう。
多くの取引先が貴社に個人情報の適切な取扱いを要望されている現状を無視して、ISO27001の取得に動き出すのは如何でしょうか。
もちろん、ISO27001でも当然個人情報も守るべき重要資産ではありますが、対外的に明確なのはプライバシーマークになります。
なかなか自分達でのご判断が難しい場合が多いと思いますので、コンサルティング会社にご相談されるのが一番簡単に解決すると思います。取得期間やコストなど様々な要因を鑑みてコンサルティング会社にアドバイスを受けることをお奨めします。