ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
情報を適切に管理しているという認証として、ISMS(ISO27001)とプライバシーマーク(Pマーク)があります。
しかし、両者の間には具体的にどのような違いがあるのか、さらには自社が取得するとしたらどちらを取得するべきか、あるいは両方取得するべきか判断できないことも多いのではないでしょうか。
この記事では、ISMSとPマークの違いとそれぞれに適した業界、両方取得する場合について解説します。
ISMSやPマークの情報を集めているご担当者様はぜひ参考にしてみてください。
ISMSとPマークの違いを一覧表にしました。
それぞれの違いについて、順に見ていきましょう。
それぞれについて、取得・認証、継続、更新の3つの費用を一覧表にまとめました。
ISMSの方が費用は高額になります。
Pマークの認証はどの認証機関で受けても同じ金額ですが、ISMSは認証機関がそれぞれの金額を設定しており機関によって違います。
ISMS・Pマークとも多くの場合はコンサルタントに作業やアドバイスを依頼します。その場合はコンサル費用もプラスで必要です。
なおISMSの費用については、以下の記事に詳しくまとめてあります。
ISO取得に必要な費用について【審査費用とコンサル費用】 – ジーサーティ・ジャパン
ISMSでは、すべての情報資産が保護・管理の対象となります。顧客の個人情報も含まれますが、それは自社を守るために個人情報を保護するというスタンスです。
それに対してPマークは、顧客の個人情報のみが保護対象となります。もともと個々のプライバシー権を守ることが目的となっているためです。
個人情報保護の観点から見たISMSとPマークの解説は、以下の記事で詳しく説明しています。
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い – ジーサーティ・ジャパン
組織内で認証を受ける範囲は、ISMSは事業・事業所・部門単位での取得が可能です。そのため、対外的に認証が必要な部署や事業所、あるいは管理体制を強化したい事業所や部署など、認証を受ける範囲を自社で決めることができます。
それに対して、Pマークは一部に限定できません。そのためPマークは全部署・全従業員が対象となります。
ISMSは国際規格です。そのため、以下のような企業はISMSの取得の方が推奨されます。
・海外取引がある
・グローバル展開の予定がある
取引に限らず、海外支社があるような場合も管理体制を整備するのに役立ちます。
対して、Pマークは国内の規格です。個人情報を扱っており国内市場で企業活動している企業に適しています。
自社のビジネスに合う方を取得するのがおすすめです。なおそれぞれがおすすめのケースについては後ほど解説します。
一般的なイメージではISMSの難易度の方が高そうに思われますが、実際は大差ありません。
ISMSで労力が必要となるのは、自社の規模や希望などに合わせて文書を作成したり管理したりすることです。代わりに対策方法を選んだり認証の範囲を限定したりできるので、比較的自由度が高く労力を調整できます。
Pマークの労力は、作成文書や手順の決まりが多くそれを守ることです。面倒ではありますが、それさえ守ればマークを取得することができます。
参考に両者の審査を比べると、ISMSは「広く・浅く」見られるのに対してPマークは「狭く・深く」見られる傾向があります。
審査で要求される内容も異なります。ISMSは、自社のセキュリティ管理のための内容が要求されます。
自社の保護の一部として顧客の情報を保護するという姿勢だからです。
それに対してPマークでは、個々の人々のプライバシー権を守るための要求内容となっています。
それぞれの要求内容は以下の通りです。
ISMSでは、情報の機密性・完全性・可用性の維持が求められます。
より具体的には、情報資産の重要性やリスクに応じた適切な情報セキュリティなどです。
Pマークでは、適切な個人情報の取り扱いが求められます。
より具体的には、個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応などが該当します。
ISMSは有効期間が3年となっており、3年ごとに更新の審査を受ける必要があります。
さらに毎年継続審査があるのも継続・更新面での特徴です。
Pマークは有効期限が2年で、2年ごとに更新審査を受けます。
また1年ごとに内部監査の実施を義務付けています。継続審査はありません。
ISMS取得のメリットとしては、以下の点が挙げられます。
メリットについて、詳しくは以下の記事をご参照ください。
ISO27001(ISMS)を取得するメリット・デメリット – ジーサーティ・ジャパン
Pマーク取得のメリットとしては、以下の点が挙げられます。
ISMSの方をおすすめする企業は、BtoB取引のある企業です。
とくに外部からの情報処理により個人情報を預かるケースの多い企業に適しています。
規模は不問で、取引先が官公庁や大手企業の場合は20人以下ぐらいのベンチャーでも求められることが珍しくありません。
実際に取得している企業の業種を見ると、システム開発や運用を行うITシステム業の取得が多くなっています。
情報セキュリティ対策の体制が整っていると認証されることがプラスとなる業種のためです。
またISMSは国際規格なので、海外進出を果たしている企業、計画中の企業にもおすすめです。
そのほか取得企業に見られるパターンの例としては、従業員が100人以上の大手、自治体と取引があるなどが挙げられます。
参考に、2025年3月現在ISMSを取得している国内の企業は8,057件となっています。
Pマークをおすすめする企業の傾向としてはBtoCの取引を行う企業や下請けとして業務を行う企業だと言えます。
具体的には、人材派遣業・広告業・印刷業・社労士・ 通販業などです。
どの業界も、個人情報の適切な取り扱いがアピールにつながります。
実際に取得している企業で多いのは、サービス業、自治体と取引している企業、大手企業との取引を行っている企業などです。
参考に、2025年7月現在Pマークを取得している企業は17,730件となっています。
ISMSとPマークを両方取得するメリットとしては、次の点が挙げられます。
このように両方取得するメリットはありますが、取得の労力に見合うかどうかを検討してから決定しましょう。
自社にとってメリットの大きいだけを取得する場合と両方取得する場合とで、どのぐらい差があるか比較してからでも遅くありません。
Pマークの対象となる個人情報はISMSで扱う情報資産の一部なので、共通する面もあります。
そのため、一部は仕組みを統合することができます。
それでもそれぞれを取得するためには労力が必要です。
両方を取得する際は、別々に審査を受ける必要があります。
そのため時期を近づけるか逆に離すか判断しなくてはなりません。
両者で反対の指摘を受けた場合など、時期が近いと対応が難しくなってしまいます。
ISMSとPマークは重なる部分もありますが、それぞれ目的が異なるため自社の目的に適した方を選ぶ必要があります。
情報資産全体を適切に管理したい場合は、ISMSがおすすめです。
ISMSの取得を検討したいとお考えなら、ぜひ私どもジーサーティーにご相談ください。
ISMSの認証機関として数多くの実績があります。お悩みのことがある場合もお気軽にご連絡ください。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
