同時運用の難しさ
ISMSとPマークの両方の認証を持っている企業あるいは今後両方取得しようとしている企業は、どのように運用していくことが正しいのでしょうか。当社で支援させていただいた企業様においても、多くの企業が悩まれていることでもあります。
当社がコンサルティングを開始する前の状態ではほとんどの企業様がPマーク担当者、ISMS担当者が別々に立てていることが多いように思います。Pマークは総務、ISMSはシステム部の方が担当し基本的には別々に活動をおこない、一部のみ共通した運用をおこなっているという流れです。別々の担当者が別々に活動をおこなっているため、同じような内容の文書が複数存在し、記録も似たようなものではあるが別の記録が作成され担当者レベルでもどれが何のために作成している記録なのか、ということがわからなくなってきてしまっています。もちろん従業員の方もそれ以上に混乱してしまっているのではないでしょうか。
別々の認証を同時に運用することは非常に難しく、どちらか片方の認証を形式的にしてしまい、残った片方のみをきちんと運用するなどの試みをおこなっている企業もあります。
ISMSとPマークの要求事項
このような同時運用の難しさの原因の1つは、求められている要求事項の違いでしょう。Pマークは比較的厳格な要求事項が定められているのに対して、ISMSは要求事項はそれほど厳密なものではなく、ISMSの枠組みの中で自社で定める基準を守るというのが基本概念です。またPマークが「個人情報」を保護するための規格であるのに対して、ISMSは「情報資産」を保護するための規格であり、Pマークが全社が適用範囲であるのに対して、ISMSは限定された範囲でも適用範囲として定められるなど、2つの認証は似ているようでいて原則が異なっている部分も多いのです。
運用工数の増大
「規格要求事項が異なる」、「それぞれの認証で情報資産、個人情報と企業が守るべきものが異なる」ことが原因となり似ているようでいて全く別々の文書が作成され、運用もそれぞれが別になることで、各事務局の運用工数と従業員の方の工数は2倍以上に膨れ上がってしまい、また何のためにおこなっているのかもわからなくなっていき、最終的には形式だけ整えて認証を維持することになるパターンが多く見受けられます。
適切な同時運用
ISMSとPマークを同時に運用していくためには、「社内体制の整備」、「文書の切り分け」、「従業員への教育」がポイントとなるでしょう。
ISMSとPマークの担当者は別々でも構いませんが、同じチームとして情報共有や活動のフィードバックなどをおこなっていくことで無駄な作業をなくし効率を上げていくのがファーストステップとなります。その上でISMS・Pマークでそれぞれ分けなければいけない文書、共通して利用できる文書を洗い出し、少しずつ運用を見直していくことが大切です。
Pマークで求められている個人情報の取り扱いに関してのルールは統合できないかもしれませんが、システム部分のルールは統合できる部分が多いでしょう。もちろんそれぞれの規格で求められている箇所を外すことはできませんので規格の確認は必要となってきます。その部分の工数が取れない場合はコンサル会社などに依頼をしてもいいでしょう。
ある程度文書が整備されたところで、従業員向けに「どの文書が何のために利用されているか」、「どのような効果があるのか」を説明するとよいでしょう。従業員の方は、納得しない中で通常業務以上のことはやりたくないのが本音です。逆に実施しないことで個人情報の取り扱いや情報セキュリティのレベルが下がってしまうということが理解できれば、事務局だけでなく社員も一体となった活動が展開できます。