突然ですが、プライバシーマーク(Pマーク)とISMSの違いと聞いて説明できますか?
正直、むずかしいですよね。
ルールが違うのも当然なのですが、元々のプライバシーマークとISMSは生まれた思想から異なり、似て非なる存在です。
「とりあえず個人情報を守るんでしょ?」
「なんとなくしかわかっていない」
そんな方に、その制度の思想、各制度の特徴などをまとめてわかりやすく紹介します。 ぜひ、参考にしてみてください。
また、こちらの資料ではISMSとPマーク両認証について、それぞれの特徴、取得までの流れ、主な違いについてまとめております。
どちらがより貴社に適しているのか判断する参考になるので、ぜひ無料でダウンロードしてみてください。
ISMSとPマーク、どちらが良いのか?どちらが適しているか考えよう
情報セキュリティに関する認証でよく話にあがるのが、「PマークとISO27001/ISMSのどちらを取得すべきか」という点です。
結論としては「どちらがいいか」ではなく「より適しているのはどちらか」という考えが正しい表現となります。
「どっちがいいかわからない」
「どちらがいいかなんて何を見て判断すればいいの」
と思いますよね。
例えば、事業活動の中で取り扱う情報に個人情報が多い場合はPマークがおすすめです。
逆に個人情報は社内の情報くらいしかないが、社外とは技術情報や機密情報のやりとりが多い場合ISO27001/ISMSの認証取得がおすすめです。
プライバシーマーク(Pマーク)とは
Pマークとは、個人情報保護法を遵守するための仕組みを構築・運用していることをマークによって示す制度のことです。
JIPDEC(一般財団法人日本情報経済社会推進協会)が定める審査基準はJIS Q 15001(個人情報保護マネジメントシステム-要求事項)に準拠しており、同法に基づく個人情報取扱事業者の義務を全て明記されています。
また、プライバシーマークは主に日本国内を対象とした認証であり、信頼性を海外に対してアピールする力はありません。
ISMSとは
ISMSは「情報セキュリティマネジメントシステム」の略です。
ISO/IEC 27001に基づき、情報セキュリティ確保の仕組みを認証する制度のことで、保護対象は組織が保有する情報資産の全てです。
審査基準は国際標準で、ISMSは世界的に通用する認証です。
似ているようで思想は大きく異なる
Pマークは「個人情報の持ち主のプライバシー権を保護する」という思想です。
ISMSは「組織が保有する情報資産について、どんなリスクがあるかを認識して軽減する」という思想です。
Pマークは、顧客の情報を守るという意識が非常に強く、ISMSは自社を守るためのリスク管理、顧客の保護は自社の保護はその延長線上にあるという違いがあります。
ISMSとPマークの違いを表にすると以下のようになります。
| ISO27001/ISMS | Pマーク | |
|---|---|---|
| 規格 | 国際標準規格 ISO/IEC27001:2013 日本産業規格 JISQ27001:2014 |
日本産業規格 JISQ15001:2017 |
| 対象 | 適用範囲内の全ての情報資産全般 (ハードやソフト、当然に個人情報も含まれる) |
企業内のすべての個人情報 (従業員の個人情報も含まれる) |
| 事業所単位、部門単位、事業単位も可 | 企業全体 | |
| 要求 | 情報の機密性・完全性・可用性の維持 (情報資産の重要性、リスクに応じた適切な情報セキュリティ) ※個人情報については、個人情報保護法および契約上の要求事項の順守が求められる。 |
適切な個人情報の取り扱い (個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応など) ※個人情報保護法を包括する厳格な取り扱いが求められる。 |
| 更新 | 3年毎,及び毎年の継続審査 | 2年毎 |
| セキュリティ対策 | 114項目の詳細管理策 | 合理的な安全対策 |
規格
Pマークは「日本工業規格 JISQ15001:2006」という”日本国内”のみで通用する規格です。
Pマークを取得しても、海外に向けて信頼性をアピールすることはできません。
反対に、ISMSの規格は「国際標準規格 ISO/IEC27001:2013」で、国際的な規格のため、海外でも一定の信頼性をアピールできます。
対象
Pマークは個人情報の保護のみで、個人情報以外の情報は対象外です。
ISMSは、企業の個人情報を含む情報全体が保護対象のため、保護する情報の範囲はPマークより広くなります。
要求
Pマークが企業に要求するのは「適切な個人情報の取り扱い」です。 手順や作成する文書などは規格が定めており、枠組みから外れた場合は取得することができません。
ISMSが要求していることは、あくまで、情報セキュリティにおける「機密性・完全性・可用性」を維持するための仕組みです。
そのため、手順や文書に定められていません。
更新
認証後、適切に情報が取り扱われているか銅貨を確かめる審査が定期的にあります。
Pマークの更新は2年ごとで、以前の更新からの管理状況や運用状況が審査されます(監査の実施、実績などは1年ごとの提出となります)。
ISMSの更新審査は3年ごとですが、1年毎に維持審査と呼ばれる審査があります。
更新審査では認証範囲全体での運用を審査。
維持審査は全体ではなく重点的にチェックすべき点を審査します。
セキュリティ対策
Pマークは企業の状況に沿った情報セキュリティ対策の手順が決まっています。
個人情報を取得する際には同意書が必須。さらに、その同意書には利用目的を記載する必要があります。
逆にISMSでは、マネジメントシステムを構築する上で、114の具体的な管理策を提示しており、その中から管理策を選択できるため、企業の実態に沿った構築が可能です。
その他
その他にも、認証にかかる費用はPマークとISMSでは差があります。
PマークよりISMSの認証の方が取得する際にかかる費用が高額となります。
プライバシーマークは事業規模によって取得にかかる費用が一定ですが、ISMSは審査登録機関によってかかる費用が異なり、維持審査にかかる費用が毎年追加で発生します。
プライバシーマーク・ISMSはどちらを取得するべきか
Pマーク、ISMSはどちらも取得するに越したことはありませんが、一律に取得が勧められている訳でもありません。
企業規模、個人情報の取り扱い方、ビジネスモデルによって異なります。取得には手続きや時間、コストを要しますので、自社に必要なのかを検討するようにしましょう。
それぞれの特徴を簡単に説明しました。
デパートなどのように多数の顧客の個人情報を取り扱うBtoC企業は、Pマークが有効であり、外部からの情報処理で個人情報を扱うBtoB企業ならISMSが有効です。
また、こちらの記事では、より詳細な解説をしています。 より理解を深めたいという方は、ぜひ参考にしてみてください。
まとめ
この記事ではISMSとPマークの違い、そして取得すべき認証はどちらかなどを解説してきました。
どちらがいい、悪いというものではないということが理解いただけたのではないでしょうか。
事業において情報セキュリティマネジメントは欠かせない活動です。
ISMSやPマークは自社が適切な情報セキュリティマネジメントを実施していることをアピールできる非常に効果的な認証です。
情報セキュリティマネジメントを推進するにあたり、これら2つの認証の取得を目的すれば、情報セキュリティ対策の方向性も定まってくるのではないでしょうか。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。
年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
