ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
顧客情報や個人情報を取り扱っている企業にとって、情報セキュリティ対策(情報漏えい対策)は常に付きまとう大きな課題です。
その対策として、情報セキュリティに関するISO27001(ISMS)やプライバシーマーク等の認証取得を検討されている方も多いのではないでしょうか?
ただし、ISO27001(ISMS)とプライバシーマークは同じ「情報セキュリティ」に関する規格とはいえ、目的や考え方・準拠する規格・適用範囲等が違っており、全くの別物といえます。
ざっくりとした違いは下記の通りです。
国際標準規格ISO27001(ISMS)をもとに運用を行う情報セキュリティマネジメントシステムの略称で、グローバルな規格。
保護対象は個人情報はもちろん、情報資産にあたる財務情報・技術情報・人事情報など多岐に渡り、それらの情報のセキュリティ対策が「機密性」「完全性」「可用性」の3つの原則に基づいて運用され、継続的に改善されていることが求められます。
一般財団法人日本情報経済社会推進協会(JIPDEC)によって運営されている日本の国内規格。
個人情報の収集・利用・保管・廃棄等取り扱いに関する仕組みや運用体制が「JIS Q15001」という個人情報保護マネジメントシステム規格に適合していることが求められます。
本記事ではISO27001(ISMS)とプライバシーマークの違いをさらに深堀りして解説してまいります。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
ISO27001(ISMS)とプライバシーマークでは、その保護対象が異なります。
ISO27001 (ISMS) |
プライバシーマーク |
---|---|
個人情報を含む適用範囲内すべての情報資産が対象。 | 個人情報のみ。ただし、全社が適用範囲で情報を保有しない部門・部署も対象。 |
比較するとISO27001(ISMS)の方が保護対象の範囲が広い分、必然的に認証取得に時間を要するケースが多いです。
ISO27001 (ISMS) |
プライバシーマーク |
---|---|
国際標準規格に基づいているため、グローバルな認証規格 | 日本の国内規格のため、日本国内でのみ通用する |
ISO27001(ISMS)は世界基準での情報セキュリティを承認されるわけですから、国際的なやりとりを必要とする企業はISO27001(ISMS)を取得されるケースが多いです。
ISO27001 (ISMS) |
プライバシーマーク |
---|---|
認証範囲に関する規定がなく、部署や拠点・工場ごとに認証範囲を設定可能 | 企業ごとの取得しか認められていないため、企業全体(全部署・全従業員)が認証範囲 |
ISO27001 (ISMS) |
プライバシーマーク |
---|---|
「機密性」「完全性」「可用性」の3つの原則に基づいて情報資産を保護するための仕組みや体制づくりが行われ、それが継続的に改善されていることが求められます。 ただし規格として決まった手順があるわけではないため、企業内の情報資産に対して114項目の審査ポイントを元に自社の体制に合わせたルールや文書を作成することができます。 |
企業内のすべての個人情報の収集・利用・保管・廃棄等取り扱いに関する仕組みや運用体制が審査の対象となります。 「JIS Q15001」という規格で手順や作成する文書などが規格で明確に定められており、その枠組みから外れた場合は認証取得することができません。 |
ISO27001 (ISMS) |
プライバシーマーク |
---|---|
3年毎及び毎年の継続審査 ※認定の期間は3年間ですが、更新までの期間にも1年に1回維持審査があり、取得後も毎年審査を受ける必要があります。 |
2年更新 ※取得後は2年ごとに更新審査を受ける必要があります。 |
ISO27001 (ISMS) |
プライバシーマーク |
---|---|
審査機関によって大きな違いがあります。 また、審査の対象人数や拠点数により段階的に費用が上がっていきます。 |
審査の費用は企業規模(小規模・中規模・大規模)で変わります。 また、新規取得時の審査と更新時の審査でも違いがあります。 |
日本国内の取得企業数、取得されている業界・市場の違いと特徴について詳しく見てみましょう。
取得企業数は7317社(2021年3月時点)です。
情報セキュリティ対策が取られているか万全である証明となるため、システムの開発や運用を行うITシステム業の取得が多いです。
取得企業数は16,577社(2021年3月時点)です。
個人情報を取り扱う機会の多いBtoCのサービス業での取得が最も多く、次いで人材派遣業、印刷業、士業と続きます。
また、プライバシーマークに関しては取引先からの取得要求が理由で取得を目指す企業が多いようです。
公官庁の入札案件参加条件としてプライバシーマークが必要な場合もあります。
上記を見てみると個人情報の取り扱いが多い場合はプライバシーマークを取得した方が良いように思えますが、情報セキュリティ対策の中には個人情報の取り扱いも含まれているため一概にそうとは言えません。
ここまでで解説した通り、ISO27001(ISMS)とプライバシーマークは同じ「情報セキュリティ」に関する規格とはいえ違いも多くあります。
と単純に決定するのはお勧めできません。
まずはそもそも情報セキュリティに関する認証がなぜ必要なのか、取得の目的を再確認する必要があります。
その上で自社にとってどちらの規格が有効かつ持続的な運用が可能であるかを見極めましょう。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら