2024.9.22更新 個人情報認証 TRUSTe制度追加、諸元情報最新化
2019.11.20作成
中小企業における情報セキュリティ対策には費用がかかりますが、その効果が見えにくいことが課題です。
そのため、業務の優先度に比べ、真剣に取り組むことが難しいと感じる企業も多いでしょう。
しかし、近年は情報セキュリティに関する事件や事故が頻発しています。
取引先や顧客の重要な情報を紛失・漏えいしたことにより、賠償金の支払いや事業停止に追い込まれる中小企業も存在します。
原因が取引先にあることもあり、取引先の選定において、情報セキュリティ対策が万全であるかを確認する企業も増えています。
とはいえ、自社が取引先として「大丈夫です!」と口頭で説明しても、なかなか信頼してもらえないことがあるでしょう。
そのような場合には、第三者である専門機関の認定を取得することをお勧めします。
情報セキュリティに取り組む企業を認定する制度はいくつも存在しますが、今回は代表的なものをご紹介します。
SECURITY ACTION セキュリティ対策自己宣言
中小企業向けにIPA(情報処理推進機構)が実施している制度です。
厳密には「自己宣言」であり、正式な「認定」とは異なりますが、申請を行えばすぐに承認され、自社のホームページやパンフレットなどに掲載できます。
「一つ星」と「二つ星」のレベルがあり、「一つ星」はセキュリティに関する5つの基本的な対策(ウイルス対策ソフトの導入やパスワード管理など)を宣言する段階です。
「二つ星」は、これに加えてセキュリティ対策を社外に公開し、より高い水準の取り組みを進めていることを示すものです。
「二つ星」の方が若干ハードルが高いですが、1~2か月程度で対応が可能です。
また、各種公的な補助金や助成金の申請条件となっているケースも多いため、セキュリティ対策に取り組んでいる中小企業は早めに申請することをお勧めします。
個人情報認証 TRUSTe制度
一般財団法人日本情報経済社会推進協会(JIPDEC)が運営する認証制度で、ウェブサイトやオンラインサービスの信頼性を評価するものです。
特に、ECサイトやクラウドサービス事業者に向いており、情報セキュリティとプライバシー保護の取り組みを示すことで、顧客や取引先に安心感を与えることができます。
ウェブサイト上にTrustmarkを表示することで、消費者や取引先に信頼感を持たせ、取引を促進することが可能です。特に、消費者向けサービスを展開する企業に適しています。
DX認定制度
企業におけるDX(デジタルトランスフォーメーション)の取り組みを公的に認定する制度です。
情報セキュリティに関しては、DX推進体制としてセキュリティ対策を含む全体の組織的な準備や計画が評価対象となります。
特に、情報セキュリティの重要性を認識した上での推進体制が重視されます。
DXの推進には情報セキュリティが不可欠であるため、情報セキュリティ対策をアピールする手段としても活用できるでしょう。
プライバシーマーク制度
日本産業規格「JIS Q 15001:2017(個人情報保護マネジメントシステム)」の要求事項に準拠している事業者に対して認定を付与する制度です。
情報セキュリティの観点からも、個人情報の保護は非常に重要です。
個人情報保護法などの社会的な要請を背景に、2024年8月時点では認定を取得している事業者が 17,692社 に達しており、社会的な信頼も高い制度となっています。
この認定を取得するには一定の対応が必要ですが、SECURITY ACTIONなどの取り組みを経た後のステップアップとして最適です。
情報セキュリティマネジメントシステム認定
国際規格「ISO/IEC 27001」に基づく情報セキュリティマネジメントの認証制度であり、日本産業規格「JIS Q 27001」に準拠しています。
この認定は、プライバシーマーク制度と基本的な仕組みが似ていますが、取得に必要な準備期間が長く、要求事項も多いため、維持には一定のコストがかかります。
そのため、大企業であっても取得する企業は限定的です。
プライバシーマークとは異なり、企業全体だけでなく、特定の部署や部門単位で認定を取得することができる点も特徴です。
