ISO15001とは？

ISO15001とは、個人情報の保護を目的として、個人情報を適切に管理するためのマネジメントシステムの要求事項を定めた規格です。

昨今、情報通信技術が発展を続ける中で個人情報保護はより重要視されており、各組織には適切な対応が求められています。
ISO15001を用いて社内体制を整備することで、効果的かつ効率的な個人情報の管理を行うことができます。

本記事では、ISO15001について詳しくご紹介致します。

ISO15001とは？

ISO15001とは、組織が業務上取り扱う個人情報を安全で適切に管理するための標準となるための一般財団法人日本規格協会によって策定された日本産業規格の一つで、個人情報の保護を目的として、個人情報を適切に管理するためのマネジメントシステムの要求事項を定めた規格です。

また、個人情報保護マネジメントシステムは、個人情報保護の体制を整えて、PDCAサイクル（計画→実行→監査→改善）を繰り返して、継続的な改善を促す仕組みのことです。

個人情報保護マネジメントシステムの継続的な維持によって、個人情報保護の要求事項を満たす能力があるかを評価することを目的としており、第三者認証制度のプライバシーマークでは、ISO15001の要求事項を満たすことが取得条件となっています。

対象組織

組織として活動する上で、ほとんど全ての組織が内外のさまざまな個人情報を取り扱います。
ISO15001は個人情報を取り扱うあらゆる種類・規模の組織が利用し、認証を取得することができます。

プライバシーマーク（Pマーク）との関係

プライバシーマーク（Pマーク）制度では、審査基準があり、それがISO15001になります。
実際にJIS規格の表紙にも「個人情報保護マネジメントシステム－要求事項」と記載されています。

プライバシーマーク（Pマーク）とは

プライバシーマーク（Pマーク）とは、個人情報保護体制に関する認証です。
審査機関による審査を受け、合格となった企業に付与されるマークになっています。

有効期間は２年なので、維持するには２年に１度審査を受け、更新する必要があります。

ISO15001取得のメリット

ISO15001の尊守により､個人情報保護法を必ず守っている組織として社外にその指針を示すことが可能になります。
PDCAの仕組みの継続した活用により、組織は個人情報保護のレベルを継続して高めていくことができます｡

メリットとして次の3点が挙げられます。

1. 取得後に配布されるマークを名刺やホームページなどに入れることで、「プライバシーマークを取得している＝個人情報の保護レベルが高い企業ですよ」ということを対外的にアピールすることができます。
2. プライバシーマークを取得する事業者は年々増え続けていて、取引の選定基準となることも多くなってきているため、顧客・取引先などからの要求や入札条件を満たすことができます。
3. ISO15001には、個人情報を保護するための体制整備を求める項目があるため、社内のルールや基準が文章化されることで統制を図ることができます。

ISO15001と個人情報保護法の違いは？

ISO15001と個人情報保護法は似ているようで違うものになっています。

個人情報保護法は、あくまでプライバシーマーク（Pマーク）の有無に関わらず、事業者が守るべき内容になります。
それに対して、ISO15001は、個人情報保護法を踏まえて組織として作るべきルール・運用を含めています。

要求の多さで考えれば、個人情報保護法よりISO15001の方が厳しいと考えていただいてよいと思います。

プライバシーマークとISO27001（ISMS）の違いは？

プライバシーマークと比較されやすいのがISO27001（ISMS）という規格です。
ここではプライバシーマークとISO27001（ISMS）についてご説明いたします。

プライバシーマーク

ISO15001の規格に基づいた個人情報保護マネジメントシステム。

インターネットの発展やITの普及により、個人情報の適切な管理および個人の権利や利益の保護は、企業・組織において社会的責任であり、重要課題の1つになっています。

一般的に、Pマークの取得は、自社を外部にアピールする、顧客や取引先との信頼関係をより向上させるためにＰマークを取得するケースが多いです。

ISMS

ISO27001の規格に基づいた情報セキュリティマネジメントシステム。

企業・組織は、「機密性・完全性・可用性」をバランスよく維持・改善し、リスクを適正にマネジメントし適切な情報資産の管理体制を整備すること、および情報流出やサイバー攻撃など情報セキュリティ対策の一環としてISMSを導入します。

ISO15001とISO27001について、規格名は少し似ていますが、制定された大元が異なるため、規格や審査内容もそれぞれ違います。

まとめ

今回はISO15001とはどんな規格であるのか、ご紹介させていただきました。
ここまでお読みいただきありがとうございます。

ISO27001（ISMS）に関するよくあるご質問

QISO27001（ISMS）内にある管理策とは何ですか？

特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策（達成するための手段）が設けられており、組織の状況に合わせ各項目についての取り組み（社内の運用ルール）を策定します。

Q情報セキュリティって何ですか？

情報セキュリティ（ISMS）とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。

Q情報セキュリティにおけるリスクにはどんなものがありますか？

そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。

「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。

「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。

QISO27001（ISMS）の重要性は？

ISO27001（ISMS）を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。

情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。

そのため、行政の入札や大手顧客との取引でISO27001（ISMS）の取得が必須要件とされることが非常に増えてきています。

ISO27001（ISMS）は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。

最後までお読みいただきありがとうございました。