ISMSやプライバシーマークという言葉を聞いたことがある方もいるでしょう。しかしこの2つの違いや目的まで詳しくご存じでしょうか?この記事では、ISMSとPマークの違いを解説し、どちらを取得すべきか、自社の事業や目的に合わせて具体的にご紹介いたします。
また、ISMSとPマーク両認証の違いから、それぞれの取得までのフロー、比較表、自社に適した認証の選び方までを丸ごとまとめた資料を無料で配布しています。ぜひ併せてご利用ください。
ISMSとプライバシーマーク(Pマーク)のおさらい
ISMSとプライバシーマーク(Pマーク)はどちらも情報保護のためのマネジメントシステムです。まずはこの2つの違いをざっとおさらいしましょう。
プライバシーマーク(Pマーク)とは
プライバシーマーク(Pマーク)とは、個人情報保護法を遵守するための仕組みを構築・運用していることをマークによって示す制度のことです。保護対象は、個人情報保護法で定められた個人情報であり、対象となる組織は、法人単位での事業者。
JIPDEC(一般財団法人日本情報経済社会推進協会)が定める審査基準はJISQ 15001(個人情報保護マネジメントシステム-要求事項)に準拠しており、同法に基づく個人情報取扱事業者の義務を全て明記されています。
プライバシーマークは主に日本国内を対象とした認証です。また中国における大連ソフトウェア産業協会(DSIA)が運営している個人情報保護評価(PIPA)認証との相互認証制もあります。
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは、ISO/IEC 27001に基づき、情報セキュリティ確保の仕組みを認証する制度のことです。保護対象は組織が保有する情報資産の全てであり、対象素なる組織は、情報セキュリティのリスク評価に基づき保護が必要と判断された事業部門単位です。審査基準が国際標準ということもあり、ISMSは世界的に通用する認証です。またIAF(国際認定フォーラム)に加盟している複数の国における相互認証の制度もあります。
ISMSとプライバシーマーク(Pマーク)の違い
表にすると以下のような違いがあります。
| ISMS | Pマーク | |
|---|---|---|
| 規格 | 国際標準規格 ISO/IEC27001:2013 日本産業規格 JISQ27001:2014 | 日本産業規格 JISQ15001:2017 |
| 対象 | 適用範囲内の全ての情報資産全般 事業所単位、部門単位、事業単位の取得も可 | 企業内のすべての個人情報 企業全体 |
| 要求 | 情報の機密性・完全性・可用性の維持 | 適切な個人情報の取り扱い |
| 更新 | 3年ごと、及び毎年の継続審査 | 2年ごと |
| セキュリティ対策 | 114項目の詳細管理策 | 合理的な安全対策 |
概ねこの5つの違いを把握しておけば良いでしょう。では5つを順を追って説明してみましょう。
1.規格の違い
ISMSは国際標準規格ISO27001を対象規格としており、これを翻訳したものが日本産業規格JISQ27001になります。逆にPマークはJISQ15001のみです。このことからわかるように、Pマークは日本国内でしか適用されません。
2.対象の違い
対象の違いに関しては、大きく分けて2つの部分での差があります。
対象とする情報資産の違い
まず対象とする情報資産の違いは以下の通りです。
- ISMS
- 適用範囲の個人情報を含めた情報資産すべてを保護する。
- Pマーク
- 企業全体の個人情報を保護する。
Pマークが個人情報に限定していることに対し、ISMSはより大きな範囲の情報資産を保護対象としています。例えば財務情報という情報資産の場合、ISMSで対象となりますが、Pマークで対象となりません。
また、履歴書の場合はどうでしょう。履歴書には個人の名前や住所、写真などの個人情報が含まれているため、ISMSでもPマークでも対象となります。
取得可能範囲の違い
取得可能範囲とは何かというと、特定の限定した範囲で認証を取得することができるか否か、となります。
例えば、役務をメインとしたシステム開発企業(受託開発なし)で、システム開発部門は一切の情報資産を保持しておらず、総務部・経理部がそれぞれ社員の情報や契約情報を保有している場合では以下のように区別されます。
- ISMS
- 適用範囲を総務部、経理部の2部署のみに限定して、ISMSを取得することが可能。(システム開発部に属する従業者はISMSの対象外となります)
- Pマーク
- 適用範囲は企業全体となるため、情報を保有しないシステム開発部も対象範囲となる。
ISMSとPマークではこのような違いがあります。注意すべきは、部署を限定して取得したISMSは、対象外とした部署で利用することはできません。
上記の例でいえば、経理部員の名刺にISMSマークは印刷できても、システム開発部員の名刺にはISMSマークは印刷できない、というとわかりやすいでしょうか。
3.要求の違い
ISMSとPマークでは情報マネジメントシステムに認証として要求される項目がことなります。
ISMSが要求していることは、「2.対象」で示した情報資産を保護するための「仕組み」や「体制」です。具体的には情報セキュリティにおける機密性・完全性・可用性を維持するための仕組みです。
そうは言っても漠然としているので、決まった手順がなく、企業に合わせたルールや文書を作成することができます。
一方、Pマークの場合は、保有する個人情報を保護することを要求しています。そのための手順や作成する文書などは規格が定めており、枠組みから外れた場合は取得することができません。
4.更新の違い
認証を取得すると、必ず更新審査があります。
ISMSの更新審査は3年に1度ですが、この他に維持審査と呼ばれるものが毎年あります。
維持審査であれ更新審査であれ、指摘事項があれば都度対応する必要がありますので、審査頻度としてはさほど違いはないでしょう。
一方、Pマークの更新は2年ごとです。これはPマークの有効期限が2年間であるということで、有効期間が終了する8か月前から4か月前までの間に更新の手続きが必要です。
5.セキュリティ対策の違い
ISMSでは、マネジメントシステムを構築する上で、114の具体的な管理策を提示しています。ISMSは、組織の規模、保有する情報資産、費用対効果などを考慮して管理策を選択することができます。どの管理策を適用するのか、より企業の実態に沿ったマネジメントシステムを構築することができます。
ではPマークはどうでしょう。
合理的な安全対策とは、企業の状況に沿った情報セキュリティ対策を講じることですが、そのための手順は決まっています。例えば個人情報を取得する際には必ず同意書が必要ですし、その同意書には利用目的を記載する必要があります。
選択可能なISMSと、すべきことを定め、それに沿って保護するPマークの大きな違いが出ている部分でもあります。
ISMSとプライバシーマーク(Pマーク)はどちらを取得すべきか
ISMSとプライバシーマークはどちらを取得すべきでしょうか。
結論から言えば両方を取得すれば、取引先や消費者からの信頼も高くなるでしょう。
しかしこの2つの認証の取得には時間やコストがかかるため、できれば本当に必要なものを取得するのが現実的です。
プライバシーマークは国内のビジネス取引や、企業のWebサイトなどで活用されています。個人情報保護の姿勢を示す指標として日本での一般的な認知度は高く、個人情報保護に特化した認証としての知名度もあります。また、中国のPIPA認証とは相互認証もあります。
ISMS認証は、国際的な基準に従って審査されるため、国内だけでなく、海外商談での要求など対して情報セキュリティマネジメントがしっかりしていることをアピールできます。IAFが加盟している複数の国で相互認証の制度があり、ISMS認証を取得していれば、企業での海外展開も有利になることもあるでしょう。
ISMSとプライバシーマークの取得は、自社の経営方針や取引先の要請などに基づいて取得する認証を決めるべきです。もちろんどちらも取得しておいた方が、より高い情報セキュリティへの姿勢を示せるものではありますが。
まとめ
この記事ではISMSとPマークの違い、そして取得すべき認証はどちらかなどを解説してきました。事業において情報セキュリティマネジメントは欠かせない活動です。ISMSやPマークは自社が適切な情報セキュリティマネジメントを実施していることをアピールできる非常に効果的な認証です。
情報セキュリティマネジメントを推進するにあたり、これら2つの認証の取得を目的すれば、情報セキュリティ対策の方向性も定まってくるのではないでしょうか。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
