PマークとISMSはクリニックのセキュリティ対策に有効?

クリニックでは、万全なセキュリティ対策を講じることが必須です。セキュリティ対策といっても幅広く、ITに関することから盗難対策、ストーカー対策までさまざまな対策が考えられますが、今回はそのなかから、PマークとISMSに的を絞って考察していきます。

目次
  1. Pマークとは?
  2. ISMSとは?
    1. ISMSの認証規格とは?
      1. ISO / IEC 27001
      2. JIS Q 27001
  3. PマークとISMSの基本的な違いは?
  4. Pマークは法人しか申請できない、ISMSは個人事業主でも申請できる
  5. Pマーク付与事業派の推移は?
  6. ISMSの取得方法
    1. 情報セキュリティに関する方針を決定する
    2. リスクアセスメントをおこなう
    3. 問題点がないかどうか確認する
    4. 認証機関に申請して審査を受ける
  7. 確実な取得のためにコンサルティングを頼るのも◎!

Pマークとは?

まずはPマークとは何であるかを説明します。

Pマークとは、「プライバシーマーク」の通称です。プライバシーマークとは、日本産業規格(JIS)に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて、個人情報について適切な保護措置を講じる体制を整備している事業者などを評価するために付与されるマークのこと。認証規格はJIS Q 15001となります。

また、「プライバシーマーク制度」は、プライバシーマークを付与された業者が事業活動においてプライバシーを使用することを認める制度のこと。個人情報を適切に取り扱うことができているかどうかを審査するのは、「一般財団法人日本情報経済社会推進協会(JIPDEC)」およびその指定機関となっています。

Pマークは、取得から2年間有効です。その間、ホームページや封筒などにPマークを載せることで、外部に対して、個人情報を適切に取り扱っていることをアピールすることができます。取得から2年経ったら、更新の手続きが必要です。

ISMSとは?

続いては、ISMSとは何であるのかを説明します。

ISMSは、Information Security Management Systemの頭文字を並べた言葉で、日本語にすると「情報セキュリティマネジメントシステム」となります。具体的には、組織が有している情報を利用するべき人が速やかに利用できる状態(=可用性)をキープすると同時に、利用してはいけない人が利用できない状態(=気密性)、改ざんや削除もされない状態(=完全性)を保つことを意味します。

ISMSの認証規格とは?

ISMSとは、組織で情報セキュリティを管理していく仕組みの名前ですが、では、組織がISMSの要求事項を満たしていることを証明するにはどうすればいいかというと、第三者機関の審査によって認められた証明となる「認証規格」を取得することです。ISMSの認証規格としては下記の2つが挙げられます。

ISO / IEC 27001

ISO(国際標準化機構)とIEC(国際電気標準会議)が合同で策定した規格です

JIS Q 27001

ISO / IEC 27001をベースに策定された国内向けの規格です

2つの規格は、内容的には大きな違いはありません。ただし、JIS Q 27001は国内でしか有効ではありません。また、ISMSの認証規格の有効期限は3年間です。

PマークとISMSの基本的な違いは?

続いては、PマークとISMSの違いをみていきましょう

Pマーク ISMS
保護対象 個人情報 個人情報を含むすべての情報資産
適用範囲 企業(クリニック)全体 企業(クリニック)全体での取得も、事業や部門ごとの取得も可能
規格 日本工業規格:JISQ15001 国際標準規格:ISO27001
日本工業規格:JISQ27001
有効期限 2年 3年
※ただし、年に1回以上、維持審査がおこなわれる

Pマークは保護の対象が個人情報に限定される一方、ISMSはすべての情報資産が保護対象となります。また、ISMSは、重要な情報を保持している管理部門のみが取得することも可能です。

Pマークは法人しか申請できない、ISMSは個人事業主でも申請できる

また、もうひとつの大きな違いは、Pマークの申請は法人にしか認められていない一方、ISMSは個人事業主でも取得申請できる点にあります。そのため、クリニックが法人化しておらず、どちらかを取得したいと考えているのなら、比較検討するまでもなく、ISMS一択となります。

ただし、ISMSは情報資産も含まれるため、規模の小さいクリニックで取得することは一般的ではありません。そのため、もしクリニックが法人化しているなら、Pマークの取得も視野に入れてもいいかもしれません。

参照:プライバシーマーク制度 申請手続き

Pマーク付与事業派の推移は?

2015年 14,755社
2016年 15,297社
2017年 15,788社
2018年 16,275社
2019年 16,477社
2020年 16,678社
2021年 16,957社
2022年 17,222社

Pマークの付与事業者数は、年々、伸び続けています。2023年3月17日時点での全国における付与事業者数は17,405社で、そのうち32件が医療法人となっています。

参照:JIPDEC(一般財団法人 日本情報経済社会推進協会)プライバシーマーク付与事業者情報「付与事業者の推移」より一部抜粋

参照:JIPDEC(一般財団法人 日本情報経済社会推進協会)プライバシーマーク付与事業者―医療法人

ISMSの取得方法

ISMSは、申請してから認証されるまでに最短でも3~4か月かかります。準備期間も含めるとさらに期間を要するので、早めに準備を進めることが望ましいでしょう。

情報セキュリティに関する方針を決定する

ISMSの認証を得るためには、情報資産を保護するための「仕組み」が構築されていることを示す必要があります。そのため、まずは自院で情報セキュリティに関する基本方針を決めて、それを文書化することが必要です。

リスクアセスメントをおこなう

リスクアセスメントとは、組織のセキュリティリスクを洗い出して、リスク対応計画を策定していくことです。組織内の情報資産を台帳にまとめたら、その情報資産に対してどのようなリスクがあるのかを明確にしていきます。具体的には、ISMSを構成する3つの大切な要素である「機密性」「完全性」「可用性」を損なうリスクのことです。

リスクを洗い出したら、それぞれのリスクを分析して、誰がいつまでにどんな対策を実施するのかを決定していきます。また、対策をおこなった後に残るリスクに対しては、受容リスク水準をクリアしているかどうか確認します。

問題点がないかどうか確認する

作成した基本方針に沿って運用できているか、情報セキュリティに関する考え方が的を得ているかなど、内部の人間およびコンサルタントにチェックしてもらって、問題点がないかを確認します。また、改善できる点があれば改善していきます。

認証機関に申請して審査を受ける

準備が整ったら、認証機関に申請して審査を受けます。ISMSの認証機関は、2023年1月時点で26機関存在します。認証費用は機関によって違うので、各機関に見積もりを出してもらって決めるといいでしょう。

認証審査の第1段階は文書審査で、通過したら第2段階として、規格に沿って運用しているかどうか、実際の状況がチェックされることになります。審査によって規格に適合していると判断されたら認証登録がおこなわれますが、不適合だと判断された場合は、改善計画書の提出と是正処置が求められます。

参照:ISMS認証機関一覧

確実な取得のためにコンサルティングを頼るのも◎!

ISMS取得のために何から始めたらいいかわからない場合は、コンサルティングに依頼するのが得策です。基本方針のまとめ方から改善すべき点まで細かく指導してもらうことで、ISMS取得の目標を達成することができます。開業ナビでも、ISMSに詳しいコンサルティング会社を紹介することができるので、興味のある方はぜひ気軽にお問合せくださいね。

Mac・Windows・iPadで自由に操作、マニュア ルいらずで最短クリック数で診療効率アップ

特徴

1.使いやすさを追求したUI・UX ・ゲーム事業で培って来た視認性・操作性を追求したシンプルな画面設計 ・必要な情報のみ瞬時に呼び出すことが出来るため、診療中のストレスを軽減 2.診療中の工数削減 ・AIによる自動学習機能、セット作成機能、クイック登録機能等 ・カルテ入力時間の大幅削減による患者様と向き合う時間を増加 3.予約機能・グループ医院管理機能による経営サポート ・電子カルテ内の予約システムとの連動、グループ医院管理機能を活用することにより経営サポート実現 ・さらにオンライン診療の搭載による効率的・効果的な診療体制実現

対象規模

無床クリニック向け 在宅向け

オプション機能

オンライン診療 予約システム モバイル端末 タブレット対応 WEB予約

提供形態

サービス クラウド SaaS 分離型

診療科目

内科、精神科、神経科、神経内科、呼吸器科、消化器科、、循環器科、小児科、外科、整形外科、形成外科、美容外科、脳神経外科、呼吸器外科、心臓血管科、小児外科、皮膚泌尿器科、皮膚科、泌尿器科、性病科、肛門科、産婦人科、産科、婦人科、眼科、耳鼻咽喉科、気管食道科、放射線科、麻酔科、心療内科、アレルギー科、リウマチ科、リハビリテーション科、、、、