ISO27001
COLUMNISO規格の知識コラム(ISO27001)

ISO27001

個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い

2022.03.31
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い

顧客情報や個人情報を取り扱っている企業にとって、情報セキュリティ対策(情報漏えい対策)は常に付きまとう大きな課題です。
その対策として、情報セキュリティに関するISO27001(ISMS)やプライバシーマーク等の認証取得を検討されている方も多いのではないでしょうか?

ただし、ISO27001(ISMS)とプライバシーマークは同じ「情報セキュリティ」に関する規格とはいえ、目的や考え方・準拠する規格・適用範囲等が違っており、全くの別物といえます。
ざっくりとした違いは下記の通りです。

ISO27001(ISMS)

国際標準規格ISO27001(ISMS)をもとに運用を行う情報セキュリティマネジメントシステムの略称で、グローバルな規格。
保護対象は個人情報はもちろん、情報資産にあたる財務情報・技術情報・人事情報など多岐に渡り、それらの情報のセキュリティ対策が「機密性」「完全性」「可用性」の3つの原則に基づいて運用され、継続的に改善されていることが求められます。

プライバシーマーク

一般財団法人日本情報経済社会推進協会(JIPDEC)によって運営されている日本の国内規格。
個人情報の収集・利用・保管・廃棄等取り扱いに関する仕組みや運用体制が「JIS Q15001」という個人情報保護マネジメントシステム規格に適合していることが求められます。

本記事ではISO27001(ISMS)とプライバシーマークの違いをさらに深堀りして解説してまいります。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

規格の概要の違い

保護対象

ISO27001(ISMS)とプライバシーマークでは、その保護対象が異なります。

ISO27001(ISMS) プライバシーマーク
個人情報を含む適用範囲内すべての情報資産が対象。 個人情報のみ。ただし、全社が適用範囲で情報を保有しない部門・部署も対象。

比較するとISO27001(ISMS)の方が保護対象の範囲が広い分、必然的に認証取得に時間を要するケースが多いです。

ISO27001(ISMS)とプライバシーマークの保護対象

影響範囲

ISO27001(ISMS) プライバシーマーク
国際標準規格に基づいているため、グローバルな認証規格 日本の国内規格のため、日本国内でのみ通用する

ISO27001(ISMS)は世界基準での情報セキュリティを承認されるわけですから、国際的なやりとりを必要とする企業はISO27001(ISMS)を取得されるケースが多いです。

認証範囲

ISO27001(ISMS) プライバシーマーク
認証範囲に関する規定がなく、部署や拠点・工場ごとに認証範囲を設定可能 企業ごとの取得しか認められていないため、企業全体(全部署・全従業員)が認証範囲

認証審査の違い

審査で見られるポイント

ISO27001(ISMS) プライバシーマーク
「機密性」「完全性」「可用性」の3つの原則に基づいて情報資産を保護するための仕組みや体制づくりが行われ、それが継続的に改善されていることが求められます。
ただし規格として決まった手順があるわけではないため、企業内の情報資産に対して114項目の審査ポイントを元に自社の体制に合わせたルールや文書を作成することができます。
企業内のすべての個人情報の収集・利用・保管・廃棄等取り扱いに関する仕組みや運用体制が審査の対象となります。
「JIS Q15001」という規格で手順や作成する文書などが規格で明確に定められており、その枠組みから外れた場合は認証取得することができません。

更新期間

ISO27001(ISMS) プライバシーマーク
3年毎及び毎年の継続審査
※認定の期間は3年間ですが、更新までの期間にも1年に1回維持審査があり、取得後も毎年審査を受ける必要があります。
2年更新
※取得後は2年ごとに更新審査を受ける必要があります。

審査費用

ISO27001(ISMS) プライバシーマーク
審査機関によって大きな違いがあります。
また、審査の対象人数や拠点数により段階的に費用が上がっていきます。
審査の費用は企業規模(小規模・中規模・大規模)で変わります。
また、新規取得時の審査と更新時の審査でも違いがあります。

業界・市場の違い

日本国内の取得企業数、取得されている業界・市場の違いと特徴について詳しく見てみましょう。

ISO27001(ISMS)

取得企業数は7317社(2021年3月時点)です。
情報セキュリティ対策が取られているか万全である証明となるため、システムの開発や運用を行うITシステム業の取得が多いです。

プライバシーマーク

取得企業数は16,577社(2021年3月時点)です。
個人情報を取り扱う機会の多いBtoCのサービス業での取得が最も多く、次いで人材派遣業、印刷業、士業と続きます。
また、プライバシーマークに関しては取引先からの取得要求が理由で取得を目指す企業が多いようです。
公官庁の入札案件参加条件としてプライバシーマークが必要な場合もあります。

上記を見てみると個人情報の取り扱いが多い場合はプライバシーマークを取得した方が良いように思えますが、情報セキュリティ対策の中には個人情報の取り扱いも含まれているため一概にそうとは言えません。

結局どちらを取得すればいいの?

ここまでで解説した通り、ISO27001(ISMS)とプライバシーマークは同じ「情報セキュリティ」に関する規格とはいえ違いも多くあります。

  • 個人情報は少ないからISO27001(ISMS)
  • 個人情報が多いからプライバシーマーク

と単純に決定するのはお勧めできません。

まずはそもそも情報セキュリティに関する認証がなぜ必要なのか、取得の目的を再確認する必要があります。
その上で自社にとってどちらの規格が有効かつ持続的な運用が可能であるかを見極めましょう。

  • SNSでシェアする

株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。

最後までお読みいただきありがとうございました。

稲岡 久美子
稲岡 久美子ISO審査員

品質マネジメントシステム・情報セキュリティマネジメントシステム審査員として活動を行っています。 業界の話題や知識、他社事例などをベースに、丁寧で実直な審査を心がけています。 組織の課題やお悩みについてお気軽にお聞かせ下さい。

お問い合わせはこちら
お問い合わせはこちら
見積もり依頼 お問い合わせ
展示会限定特典あり!CSPI EXPOに
出展致します
詳細はこちら
Social media & sharing icons powered by UltimatelySocial