0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@btncon

SCS評価制度 vs ISMS vs Pマーク ― 何が違う?どれを取るべき?

0
Posted at

はじめに

企業のセキュリティに関する認証・評価制度は複数あり、「結局どれを取ればいいのか」と迷う方は多いでしょう。特に中小企業にとっては、限られた予算と人員の中で最も効果的な選択をすることが重要です。

本記事では、SCS評価制度・ISMS(ISO 27001)・Pマーク(プライバシーマーク)の3つを比較し、自社に最適な選択肢を解説します。

3制度の概要

ISMS(ISO 27001)

情報セキュリティマネジメントシステムの国際規格です。組織がセキュリティのPDCAサイクルを適切に回しているかを、認証機関が審査します。

取得費用は100〜300万円、年間の維持費用は50〜100万円(維持審査費用)。有効期限は3年で、毎年の維持審査があります。マネジメントシステムの構築(方針、リスクアセスメント、内部監査等)が中心で、個別の技術的対策の具体性は比較的低めです。

国際規格のため海外取引先からの信頼性が高く、大手企業の入札要件になるケースもあります。

Pマーク(プライバシーマーク)

個人情報保護の体制を証明する日本独自の制度です。JIPDECが指定する審査機関による審査を経て取得します。

取得費用は50〜150万円、更新費用は30〜80万円。有効期限は2年です。個人情報の取得・利用・保管・提供に関するルールの策定と運用が求められます。サイバーセキュリティ全般はカバーしません。

BtoC企業や人材サービス、医療・介護等、個人情報を大量に扱う業種で特に重視されています。

SCS評価制度

サプライチェーン全体のセキュリティ対策を可視化するための新しい制度です。★3は自己評価+セキュリティ専門家の確認で取得できます。

★3の費用は20〜150万円(自社の対策状況による)。毎年の更新が想定されています。NIST CSFをベースに、MFA、EDR、ログ管理、インシデント対応体制等の技術的対策の実装状況を具体的に評価するのが特徴です。

詳細比較

評価の対象範囲

ISMSは情報セキュリティ全般をマネジメントの観点から評価します。ポリシーの策定、リスクアセスメント、内部監査等の「仕組み」が重視されます。

Pマークは個人情報保護に限定されます。個人情報の特定、リスク分析、安全管理措置の実施が求められますが、セキュリティ全般はスコープ外です。

SCS評価制度は技術的対策の実装状況を評価します。「MFAを導入しているか」「EDRは全端末に展開しているか」「ログの保持期間は十分か」といった、具体的かつ技術的な項目が中心です。

コストと負担の比較

ISMSは最も高コストで、文書整備の負担が大きいです。マネジメントレビュー、内部監査、是正処置等の継続的な運用も必要です。

Pマークは中程度のコスト。個人情報の棚卸しと規程整備が主な作業です。

SCS★3は最も低コストで、技術的な対策の実装が中心です。マネジメントシステムの構築は不要なため、文書整備の負担は少なくて済みます。

取得までの期間

ISMSは一般的に6〜12ヶ月。マネジメントシステムの構築から内部監査の実施まで含むため、相応の期間が必要です。Pマークは4〜8ヶ月。SCS★3は対策状況によりますが1〜6ヶ月です。

どれを取るべきか

取引先から「セキュリティ対策を示せ」と言われた

SCS★3を優先。取引先が求めているのは技術的対策の実施状況であり、SCSはそのために設計されています。ISMSでも回答可能ですが、取得までのコストと期間が大幅に増えます。

個人情報を大量に扱う事業

Pマークを優先。個人情報保護法への対応を示すにはPマークが最も直接的です。

海外企業との取引がある

ISMS(ISO 27001)を優先。国際規格であり、海外の取引先やパートナーから最も信頼されます。

まだ何も取得していない中小企業

SECURITY ACTION二つ星 → SCS★3の順がおすすめです。最も低コストで段階的にレベルアップできます。

併用は可能か

ISMSやPマークを取得済みでもSCS対応は別途必要です。ただし、ISMSで整備したマネジメントシステムや、Pマークで策定した規程類はSCS対応にも活用できます。ゼロから対応するよりも大幅に効率的です。

逆に、SCS★3を取得した後にISMSやPマークを目指す場合も、SCSで実装した技術的対策がISMS/Pマークの審査でプラスに評価されます。

まとめ

3つの制度は競合するものではなく、それぞれ異なる目的を持った補完関係です。「どれか1つだけ取ればいい」という話ではありませんが、限られた予算の中で最も効果的な選択をするなら、まずコストが低くスピーディーに取得できるSCS★3から始めるのが現実的です。その上で、事業の拡大や取引先の要求に応じてISMS・Pマークへとステップアップしていくのが理想的なロードマップです。

筆者: 株式会社BTNコンサルティング 亀田 英佑
中小企業に特化した情シスアウトソーシング「情シス365」を運営。M365/GWS環境の設計・構築50件以上の実績。
https://www.josis365.com

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?