現在、企業はさまざまなリスクに晒されながら事業を運営をしています。

中でも、個人情報の漏洩、社内不正、外部からのサイバーアタックなど、セキュリティ課題については年々脅威を増し、決して対岸の火事ではありません。

事業推進にあたり、ステークホルダーに対しては「信頼」や「安心」を示さなければなりません。そのための一つの手段が「認証制度の取得」です。

事業内容により必要な認証制度は異なりますが、セキュリティに対するステークホルダーの目はシビアになっているので、認証取得が事業推進のポイントといっても過言ではないでしょう。

今回のコラムでは、このような背景を踏まえ、以下3つの認証制度をご紹介します。

  • Pマーク(プライバシーマーク)
  • ISMS(情報セキュリティマネジメントシステム)
  • PCIDSS(Payment Card Industry Data Security Standard)

本記事にて、各認証制度の「概要・事例・関係性」などの理解を深め、導入検討や日々のカスタマーサポートでの業務にお役立てください。

各認証制度の概要

本記事でご紹介する3つの認証制度は、それぞれ一言で示すと下記になります。

  • Pマーク:「個人情報保護」に関する最もベーシックな認証制度
  • ISMS:「企業情報全般の情報セキュリティ体制」および「マネジメントシステム」を示す認証制度
  • PCIDSS:「クレジットカード業界」の国際セキュリティー基準

本項では、各認証制度の「概要」と「主な要求事項」などをご紹介します。

※各制度の具体的な「取得方法」については本記事では言及しておりません。詳細は各制度の公式HPなどをご覧ください。

Pマーク(プライバシーマーク)

一つ目は「Pマーク(プライバシーマーク)です。

Pマークの「概要」

Pマークとは「事業者が、個人情報の取扱いを適切に行う体制等を整備していることを評価し、その証として”プライバシーマーク”の使用を認める制度」です。

一般財団法人日本情報経済社会推進協会(JIPDEC)が、当時の通商産業省(現:経済産業省)の指導を受けてプライバシーマーク制度を創設。1998年4月より運用が開始され、2023年4月で25周年を迎える日本独自の認証制度です。

現在も年々取得事業者数は増えており、2022年時点で17,000社以上にのぼります(以下、推移表)。次項で紹介する「ISMS」が国内取得数6,000件程度ですので、Pマークは認知度・取得数ともに非常に高いといえます。

認証取得事業者数の推移(出典:JIPDEC公式HP内「プライバシーマーク付与事業者情報」)

尚、2005年に取得事業者数が急激に増えていますが、これはこの年に個人情報保護法が施行されたためです。

Pマークの「主な要求事項」

Pマーク申請のための主な要件は以下の通りです。

  1. 国内に活動拠点をもっていること
  2. 代表者を含む正社員が2名以上いること(※注1)
  3. 個人情報保護マネジメントシステム(PMS)が構築されていること

※注1)個人情報保護マネジメントシステム(PMS:Personal Information Protection Management Systems)の運営体制として、社会保険・労働保険に加入した正社員、または登記上の役員となる従業者が2名以上必要になります。

また、上記の要求事項に加え、以下の「3つの設備」も必要となります。

  1. 個人情報を保管するための「鍵付きロッカー」
  2. 個人情報を破棄するための「シュレッダー」
  3. 個人情報の漏洩を防ぐための「ウイルス対策ソフト」

ISMS(情報セキュリティマネジメントシステム)

2つ目は「ISMS」です。以下、解説します。

ISMSの「概要」

ISMSでは、情報セキュリティの主な要素として以下3つを定義しています。

①機密性:認可されていない者に対して情報を使用させない・開示しない。

②完全生:情報の正確さ・完全さ。

③可用性:認可された者がアクセスや使用を試みた際にいつでも利用可能できる。

また、マネジメントシステムという観点から以下を評価します。

  • リスクマネジメントプロセスがしっかりと適用されているか
  • 情報の機密性、完全性、可用性をバランス良く維持・改善し、リスクを適切に管理できているか

これらを評価し、認定することで、ステークホルダーに対して信頼を与える認証制度が「ISMS」です。

尚、ISMSは国際的な規格に基づいているため、グローバルにも非常に信頼性の高い認証といえます。

ISMSの「主な要求事項」

ISMSの要求事項を定めた規格として「JIS Q 27001(ISO/IEC 27001)※注2」があります。

※注2)ISO/IEC

・ISO:スイスのジュネーブに本部を置く非政府機関 International Organization for Standardization(国際標準化機構)の略称。

・IEC:International Electrotechnical Commission(国際電気標準会議)の略称。

「JIS Q 27001(ISO/IEC 27001)」は、組織がISMSを確立する(実施→維持→継続的な改善のPDCAを回す)ことを目的とし、ISOのマネジメントシステム規格(MSS)の”共通要素”をベースとして作成されています。

以下がその構成(要求事項)です。

1.序文

2.適用範囲

3.引用規格

4.用語および定義

5.組織の状況

6.リーダーシップ

7.計画

8.支援

9.運用

10.パフォーマンス評価

11.   改善

12.   附属書A(規定)管理目的及び管理策 

※1-11は「共通要素」でいかなる組織であっても必ず適用させる事が必要な要求事項。12のみ個別要素で事業特性により適用除外が可能である要求事項。

上記に則り作成された「適用宣言書」をステークホルダーに開示することにより、ISOという共通言語に基づいたセキュリティレベルの発信が対外的に可能になります。

PCIDSS(クレジットカード産業向けデータセキュリティ基準)

3つ目は「PCIDSS(Payment Card Industry Data Security Standard)」です。

PCIDSSの「概要」

PCIDSSは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)により、2004年12月に共同で制定されました(2022年4月には、現行のver4.0にバージョンアップ)。カード会社、加盟店、決済処理代行事業者など、カード情報を管理、処理、伝送するすべての組織が対象となっています。

また、日本国内では現在はクレジットカードを取り扱う事業者にとっては必須の認証制度となっています。

PCIDSSの「主な要求事項」

PCIDSSは、主に「6」の主要なセキュリティ基準(=目的)と、「各基準を達成するための「12」のセキュリティ要件から構成されます。

詳細は以下のとおりです。

PCIDSSの「6つのセキュリティ基準」と「12のセキュリティ要件」

12のセキュリティ要件については、さらに詳細な「約400項目」に細分化されて規定されています。

各認証制度の関係性

本項では、3つの認証制度(Pマーク、ISMS、PCIDSS)の関係性について、以下2パターンの対比でみていきます。

  • 「Pマーク」と「ISMS」
  • 「Pマーク」と「PCIDSS」

「Pマーク」と「ISMS」

一言で関係性を示すと「PマークとISMSは別物」と考えてよいと思います。

相違点として押さえておきたいのは、主に以下3点です。

  • 保護対象とする範囲
  • グレード(国内規格か国際規格か)
  • 認証対象とする範囲

具体的な内容は下記の表をご参照ください。

PマークとISMSの主な相違点

このようにPマークとISMSでは、補完関係というよりは、ざっくりとは「別物」です。

両方ともにセキュリティに関わる認証制度であることは間違いありませんが、企業や組織の「目的」に応じて、どちらの認証を取得すべきかを検討する必要があるでしょう。

一つの判断基準としては「取引先からの要求としてどちらが求められているか」という点があります。「顧客からの要請で取得を検討した」というケースは多々あります。

また各認証制度の取得業者の特徴として、一般的には以下があります。

  • Pマーク:個人情報により特化しているため、個人情報を多く取り扱うBtoCのサービス業が多い
  • ISMS:情報セキュリティ対策が構築・運用されているかの認証になるため、システム開発やシステム運用を行うITシステム業が多い

気をつけなければならないのは、情報セキュリティ対策の中には個人情報の取扱いも含まれることがあるため「個人情報の取扱いが多いからPマークを取得すればよい」とはならないということです。

取得に際しては費用も期間も要するため、事業目的や事業の影響範囲をよく吟味し、検討するようにしましょう。

「Pマーク」と「PCIDSS」

一言で関係性を示すと「PCIDSSがPマークを補完する」です。

つまり、Pマークだけではカバーできていない要素(ここでいうとクレジットカード情報)を、PCIDSSでカバーする(補完する)という関係性になります。

Pマークは、個人情報保護についての「全社的な仕組みの存在」と「PDCAが実践されていること」を公的に証明するものですが、ウイルスや不正アクセスを防ぐレベルでの細かな要求基準が具体的に定められているわけではありません。

一方、PCIDSSは先述の表でご紹介した12のセキュリティ要件のほとんどが、ネットワークやサーバーの「物理的・技術的な要求」であり、肝心要のセキュリティポリシーの整備や運用に関する要件は、”個別要素”として最後の12番目にまとめられています。

このことから、クレジットカード情報の保護という観点から、より盤石且つ対外的に信頼を得るためには、全社的な仕組みと実践を要求しているPマークを基本に、PCIDSSで補完するという、両輪でのマネジメントシステムが非常に有効であるといえます。

それでは、後編にて各認証の取得事例を見ていきましょう!

【後編】ITサービス事業者が押さえておきたい「セキュリティ認証制度」