ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
情報を適切に管理しているという認証として、ISMS(ISO27001)とプライバシーマーク(Pマーク)があります。
しかし、両者の間には具体的にどのような違いがあるのか、さらには自社が取得するとしたらどちらを取得するべきか、あるいは両方取得するべきか判断できないことも多いのではないでしょうか。
この記事では、ISMSとPマークの違いとそれぞれに適した業界、両方取得する場合について解説します。
ISMSやPマークの情報を集めているご担当者様はぜひ参考にしてみてください。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
目次
まず、ISMS(ISO27001)とプライバシーマーク(Pマーク)の違いを比較しましょう。
以下の側面で違いを見ていきます。
順に見ていきましょう。
両者の目的について見ると、ISMSはそもそもの目的が自社の保護なのに対して、Pマークの目的は個人の保護という点が大きく異なります。
ISMSの目的は、自社を保護するために自社の情報管理のリスクを認識してリスク軽減の対処を行うことです。
そのため自社の保護の一部として顧客の情報を保護するというスタンスになります。
これに対してPマークの目的は、情報主体である個々の人々のプライバシー権を守ることです。
よってPマークを取得するためには、情報主体が自分の意思で情報を提供・管理できる状況を整えます。
個人情報保護の観点から見たISMSとPマークの解説は、以下の記事で詳しく説明しています。
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い
一般的なイメージではISMSの難易度の方が高そうに思われますが、実際は大差ありません。
ISMSで労力が必要となるのは、自社の規模や希望などに合わせて文書を作成したり管理したりすることです。
代わりに対策方法を選んだり認証の範囲を限定したりできるので、比較的自由度が高く労力を調整できます。
Pマークの労力は、作成文書や手順の決まりが多くそれを守ることです。
面倒ではありますが、それさえ守ればマークを取得することができます。
参考に両者の審査を比べると、ISMSは「広く・浅く」見られるのに対してPマークは「狭く・深く」見られる傾向があります。
ここでいう「範囲」には管理する対象の範囲と、組織内で認証を受ける範囲の2種類があります。
それぞれについて解説します。
管理する対象については、ISMSは情報資産全般なのに対してPマークは個人情報のみという点が大きな違いです。
情報資産の例としては、技術情報、営業情報、財務情報などがあります。
個人情報の例は、特定の個人を識別できる氏名、住所、顔写真などです。
組織内で認証を受ける範囲は、ISMSは事業・事業所・部門単位での取得ができるのに対してPマークは一部に限定できません。
そのためPマークは全部署・全従業員が対象となります。
ISMSの方が費用は高額になります。
Pマークの認証はどの認証機関で受けても同じ金額ですが、ISMSは認証機関がそれぞれの金額を設定しており機関によって違います。
ただしPマークの費用も申請料と審査料に分けられ、審査料は事業者の規模と新規か更新かによって異なります。
新規の場合の総額は、規模により26万~100万円です。
Pマーク・ISMSとも多くの場合はコンサルタントに作業やアドバイスを依頼します。
その場合はコンサル費用もプラスで必要です。
なおISMSの費用については、以下の記事に詳しくまとめてあります。
ISO取得に必要な費用について【審査費用とコンサル費用】」
これまで述べてきたほかにも、いくつか違いがあります。
まずISMSは国際規格ですが、Pマークは国内の規格です。
認証する機関もそれぞれ定められています。
また更新期間は、ISMSは3年(ただし毎年継続審査あり)ですがPマークは2年です。
一般的な準備開始から審査通過までの期間は、ISMSは6か月~1年、Pマークは7~8か月が目安です。
さらに認証を受けるために要求される内容も異なります。
このように、似ているようでいて両者にはいろいろな面で違いがあります。
次に、ISMS(ISO27001)とプライバシーマーク(Pマーク)それぞれのメリットについてまとめます。
以下の通り分けて解説します。
それぞれについて順に見ていきましょう。
ISMS取得のメリットとして大きいものは、企業としての信頼感や安心感がアップして取引先拡大につながることでしょう。
実際、入札の条件になっていることも珍しくありません。
さらに、従業員の情報セキュリティに対する意識の向上もメリットです。
意識が向上することにより適切な情報セキュリティ管理が守られ、リスクを避けられるようになります。
さらに情報の活用や業務効率の向上といった改善も期待できます。
メリットについて、くわしくは以下の記事をご参照ください。
ISO27001(ISMS)を取得するメリット・デメリット
Pマーク取得のメリットとしてまず挙げられるのは、個人情報取り扱いに関する消費者への安心感です。
自分の情報が適切に扱われるという安心は、売上にも直結するでしょう。
さらに取引先へのアピールにもなります。
コンプライアンスが重視される現在において、厳重に個人情報を取り扱っている証明は既存取引先・新規取引先いずれからもプラスに受け取られます。
さらに従業員の意識向上もメリットです。
ISMS(ISO27001)とプライバシーマーク(Pマーク)のどちらを取得するべきかわからない企業のご担当者様向けに、どちらががおすすめかについて解説します。
以下のように分けてまとめます。
ISMSが適している場合、Pマークが適している場合の両方があります。
それぞれについて見ていきましょう。
ISMSの方をおすすめする企業は、BtoB取引のある企業です。
とくに外部からの情報処理により個人情報を預かるケースの多い企業に適しています。
規模は不問で、取引先が官公庁や大手企業の場合は20人以下ぐらいのベンチャーでも求められることが珍しくありません。
実際に取得している企業の業種を見ると、システム開発や運用を行うITシステム業の取得が多くなっています。
情報セキュリティ対策の体制が整っていると認証されることがプラスとなる業種のためです。
またISMSは国際規格なので、海外進出を果たしている企業、計画中の企業にもおすすめです。
そのほか取得企業に見られるパターンの例としては、従業員が100人以上の大手、自治体と取引があるなどが挙げられます。
Pマークをおすすめする企業の傾向としてはBtoCの取引を行う企業や下請けとして業務を行う企業だと言えます。
具体的には、人材派遣業・広告業・印刷業・社労士・ 通販業などです。
どの業界も、個人情報の適切な取り扱いがアピールにつながります。
実際に取得している企業で多いのは、サービス業、自治体と取引している企業、大手企業との取引を行っている企業などです。
ISMSとPマークを両方取得するメリットとしては、次の点が挙げられます。
このように両方取得するメリットはありますが、取得の労力に見合うかどうかを検討してから決定しましょう。
自社にとってメリットの大きいだけを取得する場合と両方取得する場合とで、どのぐらい差があるか比較してからでも遅くありません。
Pマークの対象となる個人情報はISMSで扱う情報資産の一部なので、共通する面もあります。
そのため、一部は仕組みを統合することができます。
それでもそれぞれを取得するためには労力が必要です。
両方を取得する際は、別々に審査を受ける必要があります。
そのため時期を近づけるか逆に離すか判断しなくてはなりません。
両者で反対の指摘を受けた場合など、時期が近いと対応が難しくなってしまいます。
ISMSとPマークは重なる部分もありますが、それぞれ目的が異なるため自社の目的に適した方を選ぶ必要があります。
情報資産全体を適切に管理したい場合は、ISMSがおすすめです。
ISMSの取得を検討したいとお考えなら、ぜひ私どもジーサーティーにご相談ください。
ISMSの認証機関として数多くの実績があります。お悩みのことがある場合もお気軽にご連絡ください。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
社会に貢献できるよう尽力いたします。お客様と会社の両方に貢献できるよう、一層努力してまいります。 誠実でわかりやすい審査を心がけ、審査を通じて、お客様の組織の品質向上を全力でサポートします。
お問い合わせはこちら
0800-888-0442
