- プライバシーマーク(Pマーク)とISO27001のどちらを取得するのが適切かわからない
- ISO27001とISMSについて言葉の意味の違いがわからない
という情報システム担当者も多いのではないかと思います。
この記事では、Pマーク、ISO27001、ISMSの、それぞれの特徴や違いを解説します。
「Pマーク、ISO27001、ISMSの違いについてよくわからない」という担当者の方は、ぜひこの記事を参考にして、それぞれの違いについて理解を深めて下さい。
Pマーク制度とは
Pマーク(プライバシーマーク)制度とは、「JIPDEC(一般財団法人日本情報経済社会推進協会)」により運営されている制度で、「事業者の個人情報を取り扱う仕組みとその運用が適切であるかを評価し、その証として、事業活動においてプライバシーマークの使用を認める制度」(出典:JIPDEC一般財団法人日本情報経済社会推進協会「プライバシーマーク制度」)のことです。
1998年よりPマーク制度が始まりましたが、JIPDECのデータによると、2005年の「個人情報保護法」施行に伴い、Pマーク付与事業者数が大きく増加し、2021年度にはPマークを付与されている事業者が16,957件まで増えました(参考:JIPDEC一般財団法人日本情報経済社会推進協会「プライバシーマーク制度」ープライバシーマーク付与事業者数の推移」)。
Pマーク取得には、日本産業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」をベースにした審査基準を満たす「個人情報を適正に管理する仕組み(PMS:個人情報保護マネジメントシステム)」を運用している必要があります(参考:JIPDEC一般財団法人日本情報経済社会推進協会「プライバシーマーク制度」)。
Pマークを取得すると、名刺やホームページ、商品パンフレットなどにPマークを掲載することができ、取引先や消費者に対し、自主的により高いレベルの個人情報の管理体制を確立し運用していること示すことができるため、会社の信用向上につながります。
ISO27001とは
ISO27001は、ISO(International Organization for Standardization:国際標準化機構)により制定された、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の国際規格のことです。
ISOとは、スイスのジュネーブに本部を置く非政府機関のことで、さまざまな「モノ」や「システム」の国際規格を制定することで、「世界中で同じ品質、同じレベルのものを提供」できることを目指した機関です。(参考:JQA一般財団法人日本品質保証機構「ISOの基礎知識」ー「1.「ISO」とは」)
ISO27001は、ISMSの確立・実施・維持・継続的な改善と、情報セキュリティのリスクアセスメント・リスク対応を要求していますが、対象となる情報は、個人情報のみならず、会社が保有する情報資産すべてに及びます。(参考:JQA一般財団法人日本品質保証機構1「概要|ISO/IEC27001(情報セキュリティ)」ー「規格の狙い」)
ISO27001では、ISMSにおいて、以下の3点を維持していることを要求しています。
- 機密性:情報が漏洩しないようにする
- 完全性:改ざんや誤りがないようにする
- 可用性:必要な時に必要な人が利用できるようにする
(出典:ISMS-AC 一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度の概要(パンフレット)」ーp.2 「ISMSとは」)
取引先やお客様へ、上記3点を維持し適切にリスクを管理しているという信頼を与えることが、ISO27001の目的でもあります。
【補足】ISO27001とISMSの位置づけ
前述の通り、ISO27001は国際規格のことであり、ISMSはマネジメントシステムのことを指します。
「Pマーク」と「JIS Q 15001:2017」の関係と同じように、ISMS認証の基準となる規格がISO27001という位置づけとなります。(参考:ISMS-AC 一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度の概要(パンフレット)」ーp.2 「ISMSの国際規格「ISO/IEC 27001(JIS Q 27001)」」)
ただし、ISMSのことをISO27001と呼ばれる場合があります。結局は同じものを意味する言葉と考えていただいて結構です。
PマークとISMSの主な違い
「Pマーク」と「ISMS」の主な違いは下記の通りです。
| Pマーク | ISMS | |
|---|---|---|
| 運営元 | JIPDEC(一般財団法人日本情報経済社会推進協会) | ISO(国際標準化機構) |
| 対象となる情報 | 個人情報 | 組織が保有する全ての情報 |
| 取得単位 | 会社全体 | 事業所単位、部門単位の取得も可能 |
| 適用基準 | 日本産業規格 JIS Q 15001 | 国際標準規格 ISO/IEC27001 日本産業規格 JIS Q 27001 |
| 更新期間 | 2年 | 3年ごと及び毎年の維持審査 |
<参考>
- JIPDEC一般財団法人日本情報経済社会推進協会ー「概要と目的」
- JIPDEC一般財団法人日本情報経済社会推進協会ー「付与の対象と範囲」
- JIPDEC一般財団法人日本情報経済社会推進協会ー「有効期間」
- ISMS-AC 一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度の概要(パンフレット)」
上記のような違いがありますが、補足として「対象となる情報」「取得単位」「審査の頻度」についてそれぞれ解説します。
対象となる情報
PマークとISMSでは、保護対象となる情報が異なります。
Pマークは、会社が取り扱う「個人情報(従業員情報も含む)」を対象としています。
一方、ISMSは、「会社が保有する全ての情報」が対象となります。個人情報に加えて、財務情報や人事情報、営業情報や技術情報などの情報も対象となります。
取得単位
Pマークは、事業者単位(法人単位)での取得となります。
Pマークは、法人全体での取り組みが行われていることが審査されるため、「会社全体」で取得するものという位置づけです。
一方、ISMSは、事業所単位、部門単位で取得することも可能です。
特に100名以上の企業の場合、全社でプライバシーマーク取得するのはなかなか大変であるという考え方から、部署を限定してISMSを取得されるケースが増えています。
審査の頻度
Pマークは、新規取得後、2年ごとに更新審査を受ける必要があります。
一方、ISMSは、有効期限は3年間ではあるものの、毎年1回「維持審査」を受ける必要があります。
PマークとISMSは、どちらを取得するべきか
PマークとISMSは、どちらも自社で保有する情報を適正な運用方法で扱っていることを証明するものですが、どちらを取得するのが良いのでしょうか。
結論から言うと、個人情報保護の企業姿勢を対外的にアピールしたいのであれば、Pマークを取得するべきですし、情報セキュリティ管理の企業姿勢をアピールしたいのであれば、ISMS認証を取得するべきです。
また、取引先から、PマークあるいはISMSのどちらか、もしくは両方の取得を要求された場合は、まずは取引先の要求に応じた認証を取得するべきです。
まとめ
この記事では、「Pマーク」、「ISO27001」、「ISMS」の概要と、PマークとISMSの主な違いについて解説しました。
「Pマーク」については、個人情報に特化した認証であるため、個人情報保護の企業姿勢を対外的にアピールしたい場合や、社内で個人情報保護の機運を高めたい場合は取得しましょう。
「ISMS」については、個人情報の取り扱いがなくても、情報セキュリティ管理の企業姿勢をアピールしたい場合や、主なお客様が法人で他社との差別化に役立てたい場合は取得しましょう。
どちらも認証取得するためには、それぞれの審査基準を満たした、情報取り扱いにおける運用システムの構築が必要です。
それらのシステムを構築することにより、情報漏洩のリスクを軽減できるだけでなく、対外的な会社の信用を上げることにもつながります。
また、適正な情報管理ができる環境整備を行うことで、業務効率化につながる場合もあります。
オプティマソリューションズでは、Pマークの取得や、ISMS取得の取得をサポートしておりますが、単なる取得にとどまらず、ルールや考え方が通常業務に自然に溶け込むまでサポートいたします。
「Pマーク」も「ISMS」も、取得がゴールではなく、すべての従業者が理解・実践でき、PDCAサイクルなどを通じで、日ごろより維持改善を行うことが大切です。
弊社では、2,000件以上の豊富なコンサルティング実績があるため、多種多様な業務に合わせたマネジメントシステムの作成が可能です。
自社で運用するにあたって、認証基準を満たし、かつ無理なく継続できるマネジメントシステムを作成いたします。
これから「Pマーク」や「ISMS」の取得を検討されている担当者の方は、ぜひ、オプティマソリューションズまでご相談ください。
