Pマーク・ISMSを取ろうと思ったら読む本
書籍内容
経営者、情報管理担当者必読!
Pマーク・ISMS取得の流れから注意点、
コンサル会社の選び方まで徹底解説!
「低価格」「丸投げでお任せください」と謳い、
とにかく受注だけすればよいというスタンスのコンサル会社が多く存在しています。
これでは仮に取得できたとしても名ばかりで、情報漏えいに関するリスクはなくなりません。
企業の規模・業種・業態に合わせて
Pマーク・ISMSの取得から運用まで行うコンサル会社を見極めることが重要なのです。
個人情報の漏えいやコンピュータウイルス感染など、
企業の情報セキュリティに関連する事件が後を絶ちません。
自社で情報漏えいが生じれば社会的信頼を失うのはもちろん、
顧客への損害賠償支払いなどへ発展した場合には事業の継続すら危ぶまれる事態に<陥る可能性があります。
こうしたリスクを回避するために、
PマークやISMS(Information Security Management System)といった
第三者機関の外部監査を受け、
個人情報の適正な取り扱いや情報セキュリティを確保することが、
企業活動を継続するうえで必要不可欠となっています。
PマークやISMS取得の一連の流れを日々の業務と並行しながら
自社のみで進めるのは難しく、コンサル会社に依頼するのが一般的です。
しかし、コンサルタント会社に「丸投げ」で依頼するケースが多く、
認証を取得できたとしても社内で正しく運用できずに情報漏えいなどのトラブルが生じる
可能性があるのです。
本書では、PマークやISMSについての基礎知識や取得方法はもちろん、
企業の規模・業種・業態に合わせてサポートするコンサルタント会社の見極め方が分かる
1冊となっています。
目次
はじめに
第1章 進む情報活用社会
情報セキュリティのリスク管理が企業には不可欠
進展する情報活用社会
増え続ける情報漏えい事故
パーソナルデータ利用のためには高度な保護の仕組みが必要
厳しくなる個人情報保護
情報セキュリティに関連した法律や制度の整備
個人情報保護で先頭を走るEU
中堅・中小企業といえども情報セキュリティ管理が必須の時代
第2章 営業効率アップ、取引先の拡大、個人情報の漏えいのリスク回避
Pマーク・ISMS取得のメリット
注目を集めるプライバシーマークとISMS
第三者認証は企業と消費者双方にメリットがある
プライバシーマークとISMSとはどう違う
急速に増え始めたプライバシーマークの取得事業者数
プライバシーマーク取得のメリット
1個人情報漏えいリスクの最小化
2社会的な信頼度の向上
3ビジネスチャンスの拡大
4セキュリティ・インシデントを予防
プライバシーマーク取得費用と取得までの期間
ISMSとはどういう認証か
ISMS取得費用と取得までの期間
ISMS取得のメリット
1業務効率の改善
2適切なリスク対応の実現
3事業継続性の向上
プライバシーマーク・ISMSのどちらを選べばよいか
第3章 コンサル会社への依頼、マニュアル類の作成、法令の管理……
Pマーク・ISMS取得までの流れとポイント
プライバシーマークの場合
・申請は法人単位で行う
・仕組みをつくるところから始まる
・「JIS Q 15001 個人情報保護マネジメントシステム―要求事項」
が求めているものを理解し、マニュアルとして整備する
1個人情報保護方針の作成
2リスクアセスメントの実施
3目的達成のためのアクションプラン作成
4パフォーマンス評価と内部監査、マネジメントレビューの実施
5PMSの改善
6申請書類の作成と申請
7現地審査
8現地審査指摘事項対応
ISMSの場合
1適用範囲の決定と情報セキュリティ基本方針の作成
2情報資産の洗い出しとリスクアセスメント・実施手順(マニュアル)の作成
3パフォーマンス評価と内部監査、マネジメントレビューの実施
4ISMSの改善
5申請書類の作成と申請
62段階審査
第4章 「安い! 」「丸投げで取得可能! 」の謳い文句は危険
信頼できるPマーク・ISMS取得支援コンサルタントとは
信頼できるコンサルタント会社にアウトソーシングする
誰でも始められるコンサルタント会社は玉石混淆
「丸投げOK」を売りにするコンサルタント会社も
丸投げOKを助長する事業者側のスタンス
コンサルタント会社にはどのようなタイプの会社があるか
こんなコンサルタント会社には気をつける
1業務内容への理解がない
2具体的な業務は結局自社で全部やることになった
3十分なレクチャーが受けられなかった
4専属のコンサルタントではなかった
5独自の有料ツールの話をしつこくもちだされた
6運用を有料で代行したり、丸ごと請け負うことを提案された
安心できるコンサルタント会社を選ぶときのチェックポイント
1安いことを、最大の売りにしていないか
2「必ず」と「スピード」ばかりを重視していないか
3「何もしなくていい」「楽して取れる」を売りにしていないか
4コンサルタント会社自身がプライバシーマークをもっているか
5プライバシーマークの取得支援実績を公開しているか
6サポート範囲を示しているか
7自社で運用できるPMSを構築してくれるか
8必要以上の設備投資の誘導がないか
9自社の業界知識をもっているコンサルタントか
10導入すべきセキュリティ商材やサービスを中立な立場で紹介してくれるか
第5章 業界別、Pマーク・ISMSを取得した成功事例
事例1 業務の委託元に感謝され、受注増を実現
S社 デザイン業 社員15名/プライバシーマーク取得
事例2 プライバシーマーク取得により利用者の不安を解消
K社 健康・美容関連ECサイト運営 社員3名/プライバシーマーク取得
事例3 社内に統一的でしっかりした個人情報保護ルールを確立
M社 広告代理店業 社員30名/プライバシーマーク取得
事例4 入札要件に加わったISMSに急遽対応して応札
F社 システム受託開発会社 社員50名/ISMS取得
事例5 クリニックが保有する情報セキュリティ体制をアピール
Dクリニック 健康・検査センター スタッフ30名/ISMS取得
おわりに