プライバシーマーク(以下「Pマーク」と表記)とISMS(ISO/IEC 27001)、どちらも情報セキュリティに関する認証制度ですが、具体的な違いが分からず、どちらを取得するべきか迷っていませんか?
PマークとISMSは生まれた思想から異なり、似て非なる認証制度です。
「とりあえず個人情報を守るんでしょ?」 「なんとなくしかわかっていない」
そのような方に、各制度の思想や特徴などをまとめてわかりやすく紹介します。ぜひ、参考にしてみてください。
【お急ぎの方・社内検討用の方へ】
記事を読む時間がない、または社内会議で説明するための資料が必要という方は、本記事の内容を凝縮した「ISMS・Pマーク比較資料」をご活用ください。 それぞれの特徴、違い、取得までの流れを比較表でまとめており、無料でダウンロード可能です。
PマークとISMS、どちらが良いのか?どちらが適しているか考えよう
情報セキュリティに関する認証においてよく議論に上がるのが、「PマークとISMSのどちらを取得すべきか」という点です。
結論としては「どちらが良いのか」ではなく「より適しているのはどちらか」という考えが正しい表現となります。
事業活動の中で取り扱う情報に個人情報が多い場合はPマークがおすすめです。
逆に個人情報は社内情報に留まるが、社外との技術情報や機密情報のやりとりが多い場合はISMSの認証取得がおすすめです。
Pマークとは
Pマークとは、個人情報保護法を遵守するための仕組みを構築・運用していることをマークによって示す制度のことで、保護対象は組織が取り扱う個人情報です。
JIPDEC(一般財団法人日本情報経済社会推進協会)が定める審査基準はJIS Q 15001(個人情報保護マネジメントシステム-要求事項)に準拠しており、同法に基づく個人情報取扱事業者の義務が全て明記されています。
ただし、Pマークは主に国内向けの信頼性向上に効果を発揮しますが、国際規格ではないため、海外企業に対して直接的な信頼性を訴求する力は限定的です。
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは国際規格であるISO/IEC 27001に基づき、情報セキュリティ確保の仕組みを認証する制度のことで、保護対象は組織が保有する全ての情報資産です。
国際規格に基づき、組織の情報セキュリティ体制を第三者機関が審査・認証するため、海外取引先やパートナーに対しても自社のセキュリティレベルを訴求できる認証制度です。
PマークとISMSの違い
Pマークは「個人情報の適切な取り扱いを通じて、プライバシーを保護する」という思想です。
ISMSは「組織が保有する情報資産に対する脅威を特定し、リスクを軽減・管理する」という思想です。
Pマークは「顧客情報の保護」を重視し、ISMSは「自社のリスク低減」を核とした包括的な情報の保護を目指すという、目的と対象範囲の違いがあります。
PマークとISMSの違いを表にすると以下のようになります。
| Pマーク | ISMS | |
|---|---|---|
| 規格 | 日本産業規格 JISQ15001 | 国際標準規格 ISO/IEC27001 (日本産業規格 JISQ27001) |
| 対象 | 企業内の全ての個人情報 | 企業が有する全ての情報資産 ※個人情報、技術情報など |
| 適用範囲 | 企業単位のみ | 部門単位、事業所単位も可 |
| 要求 | 適切な個人情報の取り扱い (マニュアル通りに行う) |
機密性・完全性・可用性の維持 (自社でルールを決める) |
| 更新 | 2年ごと | 3年ごと(維持審査は1年ごと) |
| セキュリティ対策 | 合理的な安全対策 | 93の具体的な管理策 ※旧114項目 |
【もっと詳しい比較表が欲しい方へ】
上記は簡易的な比較となりますが、以下の資料では「取得費用の目安」「取得にかかる期間」「審査の難易度」など、より実務的な項目を含めた詳細な比較をご確認いただけます。
規格
Pマークは「日本産業規格 JISQ15001」という”国内規格”に基づく認証制度となるため、海外企業に対して直接的な信頼性を訴求する力は限定的です。
ISMSは「ISO/IEC27001」という”国際規格”に基づく認証制度となるため、海外取引先やパートナーに対しても自社のセキュリティレベルを訴求できます。
対象
Pマークは顧客リストや従業員情報といった個人情報は保護対象ですが、技術情報などの個人情報以外の情報は対象外となります。
ISMSは、個人情報を含む企業が有する情報全てが保護対象のため、保護する情報の範囲はPマークより広くなります。
要求
Pマークが企業に要求するのは「適切な個人情報の取り扱い」です。 全事業所・全部門を対象に、実施手順や文書化などの規格が厳格に定められており、枠組みから外れた運用では取得することができません。
このため、自由度は低いですが「やるべきこと」が明確で迷いにくいという特徴があります。
ISMSは、「情報資産の機密性・完全性・可用性を維持し、リスクを管理するための組織的な仕組み」を要求するものであり、その実現のために必要な具体的な手順やルールは、各組織のリスクに応じて規定することができます。
更新
認証取得後も、適切に情報が取り扱われているか確かめる審査が定期的にあります。
Pマークの更新は2年ごとで、以前の更新からの管理状況や運用状況が審査されます。
※1年ごとに実施すべき内部監査や教育などの実績をまとめ、更新審査時に提出します。
ISMSの更新審査は3年ごとですが、1年ごとに維持審査があります。
・更新審査:認証の有効期間の終了に伴う登録更新の可否判断を目的に、全範囲を対象として構築・運用状況を詳細に審査します。
・維持審査:ISMSが継続的に運用されているか確認するため、主要な要素(内部監査、マネジメントレビュー、前回の指摘事項など)を重点的にチェックします。
セキュリティ対策
Pマークは企業の状況に沿った情報セキュリティ対策の手順が決まっています。
個人情報を取得する際には同意書が必須となり、利用目的や第三者提供の有無などを通知し同意を得る必要があります。
ISMSでは規格の附属書Aに示された93の具体的な管理策(旧114項目)から企業のリスクアセスメントに基づいて必要なものを選定できるため、企業の実態に即したマネジメントシステムを構築・運用が可能です。
その他(費用)
これまで挙げた内容以外にも、認証にかかる費用はPマークとISMSでは差があります。
一般的にPマークよりISMSの認証の方が取得する際にかかる費用がやや高額となる傾向があります。
Pマークは事業規模によって取得にかかる費用が一定ですが、ISMSは審査登録機関によってかかる費用が異なり、維持審査にかかる費用が毎年追加で発生します。
Pマーク・ISMSはどちらを取得するべきか
PマークとISMSは目的や対象範囲が異なるため、企業規模やビジネスモデルに合わせて選択・併用するのが最適です。両方の取得は高い信頼を得ることができますが、コストや運用負荷が増大するため、取得目的を明確にした上での慎重な検討が必要となります。
消費者の個人情報のデータを大量に取り扱うBtoC企業はPマークが、外部から委託された情報処理や個人情報、機密情報を取り扱うBtoB企業ならISMSが有効です。
【選び方のまとめ】
- Pマークがおすすめなケース
- 一般消費者(個人)のお客様が多い(BtoC)
- 人材派遣、ECサイト、教育関連などの業種
- 「個人情報保護」を対外的にアピールしたい
- ISMSがおすすめなケース
- 法人の取引先が多い(BtoB)
- システム開発、SaaS、データセンターなどの業種
- 官公庁や大手企業から「ISMS(ISO27001)」の取得を求められている
- 特定の部署(システム部など)だけで取得したい
「まだ自社にどちらが最適か判断しきれない」
「上司に説明するために、根拠となる資料が欲しい」
このようにお考えの方は、ぜひ以下の資料をお手元に保存してください。
PマークとISMSの違いだけでなく、「自社に合った認証の選び方チャート」や「取得までの具体的なスケジュール」も掲載しています。
また、こちらの記事では、より詳細な解説をしています。 より理解を深めたいという方は、ぜひ参考にしてみてください。
まとめ
この記事では個人情報主体ならPマーク、情報資産全般ならISMSが適しており、どちらが良いではなく、事業内容や取引先、保護対象に合わせて認証制度を選択する必要があることを解説いたしました。
全ての事業活動において情報セキュリティマネジメントは必要不可欠です。PマークやISMSは自社が適切な情報セキュリティマネジメントを実施していることを対外的に訴求できる非常に効果的な認証です。
情報セキュリティマネジメントを推進するにあたり、これらの認証取得の検討を行うことで、情報セキュリティ対策の方向性も定まってくるのではないでしょうか。
また、LRM株式会社では、ISMS認証取得コンサルティングを行っております。
年間580社※・19年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
