コラム

第三者認証「CLIPマーク」と「ISMS」の違いとは?


情報セキュリティの分野でも、当事者ではなく外部の第三者機関が審査・認証を行う第三者認証制度は今や一般的になってきました。これは、第三者が客観的な指標に基づいて判断することで、顧客や消費者に対して、自組織の信頼性をよりアピールできるということに依っています。

この、第三者認証制度では情報セキュリティ分野でもいくつか有名なものがありますが、ここでは代表的なものである「CLIPマーク」と「ISMS」について取り上げます。両者の特徴はどういったところにあり、その違いはどのようなものなのでしょうか。

CLIPマークとISMSの特徴

まずは、それぞれの特徴について見直してみましょう。

CLIPマーク

CLIPマークは、認定個人情報保護団体である「中小企業個人情報セキュリティ推進協会」が、個人情報を取り扱う事業者を審査・認定する制度です。この制度では、企業が持つ個人情報に特化した形で、情報を適切に管理・活用される体制が構築されていることを示します。

ISMS

ISMS(Information Security Management System)適合性評価制度は、企業が所有する情報資産(コンピューターや個人情報、顧客情報など全般)について適切な管理をするための体制を確立し情報の流出や破壊のリスクから守られていることを証明するものです。この基準を満たすものとしてISO27001などの国際規格が設定されています。

CLIPマークとISMSの違い

前項の特徴を表にまとめると以下のようになります。

認証制度 CLIPマーク ISMS
審査基準 「中小企業個人情報セキュリティ推進協会」の基準 ISO27001
保護対象 事業者が扱う個人情報全般 情報資産全般(個人情報のみではない)
対外効果 企業・消費者にアピール 顧客向けにアピール

ここまでで「CLIPマーク」と「ISMS」の概要についてはお分りいただけたのではないでしょうか。

では、改めてこれら2つの認証制度の違いについて見ていきましょう。ここまで見てきたものを参考にすると「CLIPマーク」と「ISMS」の違いといえば、以下のようなものがあります。

審査基準が違う

「CLIPマーク」は「中小企業個人情報セキュリティ推進協会」のガイドラインに基づいて審査されていますが、「ISMS」は、国際規格であるISO27001を基準としています。

対象範囲が違う

「CLIPマーク」は主として対象を事業者が取り扱う個人情報としています。これに対して、「ISMS」では、対象範囲が個人情報だけではなく、企業や組織が持つコンピューターやスマートフォンなどの情報機器やデータなどを含めた情報関連資産全般を対象としています。したがって、「CLIPマーク」に比べて対象範囲がはるかに広くなっています。

アピール対象が少し違う

「CLIPマーク」は、消費者と取引先企業の両方に対して取得事業者が適切に個人情報を扱い管理していることをアピールするものです。

これに対して、「ISMS」は、個人ではなく取引先企業や官公庁といった相手に対して自らの組織が個人情報を適切に扱うことができる体制をもっているということをアピールするためのものです。ISMSの場合は、契約を結ぶ前提条件として、「ISMS認証を取得していること」を掲げているケースも多くなっています。

両者ともIT業界向けの第三者認証、でも内容は異なる

これら表などから見える「CLIPマーク」と「ISMS」との違いを改めて整理すると以下のようになります。

  • 「CLIPマーク」が個人情報全般を扱うのに対して、「ISMS」では、個人情報を含めた情報資産全体を対象としていること
  • 「CLIPマーク」が消費者と取引先企業の両方をアピール対象としているのに対して、「ISMS」では、主に契約などを含めた取引先の企業を対象としていること

このように、「CLIPマーク」も「ISMS」も、いずれも第三者機関によって審査・認定が行われるIT業界向けの第三者認証制度ですが、その内容が大きく異なっていることに気づいていただけたのではないでしょうか。

まとめ

今後は、消費者や取引先企業へのアピールの必要性などから第三者認証制度を取得・活用する場面がさらに増えることが予想されます。先にも触れましたがISMSのような取引の前提条件となりうるものであればなおさらです。

こういった中で大切なことは、自らの組織にはどういった制度が必要なのかということです。多くの第三者認証制度の中で、組織に合っていて必要となる制度を選んで確実に取得していくという動きが今後は非常に大切になってくるのは間違いないことでしょう。