クリニックでは、万全なセキュリティ対策を講じることが必須です。セキュリティ対策といっても幅広く、ITに関することから盗難対策、ストーカー対策までさまざまな対策が考えられますが、今回はそのなかから、PマークとISMSに的を絞って考察していきます。
Pマークとは?
まずはPマークとは何であるかを説明します。
Pマークとは、「プライバシーマーク」の通称です。プライバシーマークとは、日本産業規格(JIS)に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて、個人情報について適切な保護措置を講じる体制を整備している事業者などを評価するために付与されるマークのこと。認証規格はJIS Q 15001となります。
また、「プライバシーマーク制度」は、プライバシーマークを付与された業者が事業活動においてプライバシーを使用することを認める制度のこと。個人情報を適切に取り扱うことができているかどうかを審査するのは、「一般財団法人日本情報経済社会推進協会(JIPDEC)」およびその指定機関となっています。
Pマークは、取得から2年間有効です。その間、ホームページや封筒などにPマークを載せることで、外部に対して、個人情報を適切に取り扱っていることをアピールすることができます。取得から2年経ったら、更新の手続きが必要です。
ISMSとは?
続いては、ISMSとは何であるのかを説明します。
ISMSは、Information Security Management Systemの頭文字を並べた言葉で、日本語にすると「情報セキュリティマネジメントシステム」となります。具体的には、組織が有している情報を利用するべき人が速やかに利用できる状態(=可用性)をキープすると同時に、利用してはいけない人が利用できない状態(=気密性)、改ざんや削除もされない状態(=完全性)を保つことを意味します。
ISMSの認証規格とは?
ISMSとは、組織で情報セキュリティを管理していく仕組みの名前ですが、では、組織がISMSの要求事項を満たしていることを証明するにはどうすればいいかというと、第三者機関の審査によって認められた証明となる「認証規格」を取得することです。ISMSの認証規格としては下記の2つが挙げられます。
ISO / IEC 27001
ISO(国際標準化機構)とIEC(国際電気標準会議)が合同で策定した規格です
JIS Q 27001
ISO / IEC 27001をベースに策定された国内向けの規格です
2つの規格は、内容的には大きな違いはありません。ただし、JIS Q 27001は国内でしか有効ではありません。また、ISMSの認証規格の有効期限は3年間です。
PマークとISMSの基本的な違いは?
続いては、PマークとISMSの違いをみていきましょう
Pマーク | ISMS | |
保護対象 | 個人情報 | 個人情報を含むすべての情報資産 |
適用範囲 | 企業(クリニック)全体 | 企業(クリニック)全体での取得も、事業や部門ごとの取得も可能 |
規格 | 日本工業規格:JISQ15001 | 国際標準規格:ISO27001 日本工業規格:JISQ27001 |
有効期限 | 2年 | 3年 ※ただし、年に1回以上、維持審査がおこなわれる |
Pマークは保護の対象が個人情報に限定される一方、ISMSはすべての情報資産が保護対象となります。また、ISMSは、重要な情報を保持している管理部門のみが取得することも可能です。
Pマークは法人しか申請できない、ISMSは個人事業主でも申請できる
また、もうひとつの大きな違いは、Pマークの申請は法人にしか認められていない一方、ISMSは個人事業主でも取得申請できる点にあります。そのため、クリニックが法人化しておらず、どちらかを取得したいと考えているのなら、比較検討するまでもなく、ISMS一択となります。
ただし、ISMSは情報資産も含まれるため、規模の小さいクリニックで取得することは一般的ではありません。そのため、もしクリニックが法人化しているなら、Pマークの取得も視野に入れてもいいかもしれません。
Pマーク付与事業派の推移は?
2015年 | 14,755社 |
2016年 | 15,297社 |
2017年 | 15,788社 |
2018年 | 16,275社 |
2019年 | 16,477社 |
2020年 | 16,678社 |
2021年 | 16,957社 |
2022年 | 17,222社 |
Pマークの付与事業者数は、年々、伸び続けています。2023年3月17日時点での全国における付与事業者数は17,405社で、そのうち32件が医療法人となっています。
参照:JIPDEC(一般財団法人 日本情報経済社会推進協会)プライバシーマーク付与事業者情報「付与事業者の推移」より一部抜粋
参照:JIPDEC(一般財団法人 日本情報経済社会推進協会)プライバシーマーク付与事業者―医療法人
ISMSの取得方法
ISMSは、申請してから認証されるまでに最短でも3~4か月かかります。準備期間も含めるとさらに期間を要するので、早めに準備を進めることが望ましいでしょう。
情報セキュリティに関する方針を決定する
ISMSの認証を得るためには、情報資産を保護するための「仕組み」が構築されていることを示す必要があります。そのため、まずは自院で情報セキュリティに関する基本方針を決めて、それを文書化することが必要です。
リスクアセスメントをおこなう
リスクアセスメントとは、組織のセキュリティリスクを洗い出して、リスク対応計画を策定していくことです。組織内の情報資産を台帳にまとめたら、その情報資産に対してどのようなリスクがあるのかを明確にしていきます。具体的には、ISMSを構成する3つの大切な要素である「機密性」「完全性」「可用性」を損なうリスクのことです。
リスクを洗い出したら、それぞれのリスクを分析して、誰がいつまでにどんな対策を実施するのかを決定していきます。また、対策をおこなった後に残るリスクに対しては、受容リスク水準をクリアしているかどうか確認します。
問題点がないかどうか確認する
作成した基本方針に沿って運用できているか、情報セキュリティに関する考え方が的を得ているかなど、内部の人間およびコンサルタントにチェックしてもらって、問題点がないかを確認します。また、改善できる点があれば改善していきます。
認証機関に申請して審査を受ける
準備が整ったら、認証機関に申請して審査を受けます。ISMSの認証機関は、2023年1月時点で26機関存在します。認証費用は機関によって違うので、各機関に見積もりを出してもらって決めるといいでしょう。
認証審査の第1段階は文書審査で、通過したら第2段階として、規格に沿って運用しているかどうか、実際の状況がチェックされることになります。審査によって規格に適合していると判断されたら認証登録がおこなわれますが、不適合だと判断された場合は、改善計画書の提出と是正処置が求められます。
確実な取得のためにコンサルティングを頼るのも◎!
ISMS取得のために何から始めたらいいかわからない場合は、コンサルティングに依頼するのが得策です。基本方針のまとめ方から改善すべき点まで細かく指導してもらうことで、ISMS取得の目標を達成することができます。開業ナビでも、ISMSに詳しいコンサルティング会社を紹介することができるので、興味のある方はぜひ気軽にお問合せくださいね。
特徴
対象規模
オプション機能
提供形態
診療科目
この記事は、2023年4月時点の情報を元に作成しています。