ISMS(ISO27001)とPマークの違い
ISMS(ISO27001)とPマーク(プライバシーマーク)はどちらも情報セキュリティに関する規定であり、似たような印象を持たれがちですが、じつはその目的や対象は全く異なります。ここでは、導入目的・守るべきもの・文書と記録の3つのポイントで、それぞれの違いを明らかにしていきます。
導入目的の違い
ISMS(ISO27001)
ISMS(ISO27001)導入の目的は、企業や組織において、「機密性」「完全性」「可用性」の3要素を確保し、情報資産をしっかりと守りつつ、扱いやすい体制を構築すること。ISMS(ISO27001)の取得後も、内部監査と外部審査機関による外部監査を繰り返し、情報セキュリティの継続的改善をめざします。
Pマーク
インターネットの発展によって個人情報がネットワーク上に行き交い、コンピューターによって処理されることが増え、個人情報の保護が必須となりました。そこで誕生したのがPマークです。
Pマーク制度は、企業や組織が個人情報を適切に扱うための整備をおこなっていることを評価するもので、一般財団法人日本情報経済社会推進協会によって認定されます。
同協会では、その目的として「消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること」「適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること」を挙げています。
守るべきものの違い
ISMS(ISO27001)
企業や組織が自ら定めた適用範囲にある、すべての情報資産が対象となります。
Pマーク
対象は個人情報のみに限定されますが、個人情報を扱わない部署や拠点も含めて、企業・組織全体が適用範囲となります。
文書/記録に付いての違い
ISMS(ISO27001)
ISO27001から提示された要求事項に従って、企業・組織の方針・運用方法などを策定し、計画書・運用記録などを文書化して記録します。策定した内容をPDCAサイクルに落とし込んで運営し、常に記録を残しながら、継続的に改善することが求められます。
Pマーク
ISMS(ISO27001)における運用と同様に、文書やマニュアルを策定・作成し常に記録を継続しながらPDCAを繰り返して継続的改善に取り組みます。
ISMS(ISO27001)が組織・企業の利害関係者を広く対象としているのに対し、Pマークは消費者目線であることが大きな違いです。
更新タイミングの違い
ISMS(SO27001)とPマークでは、どちらも一度取得すればずっと認証が続くわけではなく、有効期限があります。ただしISMS(SO27001)とPマークでは有効期限が違います。ここでは、ISMSとPマークそれぞれの更新のタイミングについて見ていきましょう。
ISMS(ISO27001)
ISMS(ISO27001)の認証期間は3年間です。つまり3年毎に更新が必要になります。
ただし、毎年維持審査(または定期審査)と言われるものが毎年あり、重点のみにクローズアップしてISMSの運用が認証した内容の通りに実施されているかどうかをチェックしています。もしここで改善が必要という指摘を受けると、是正処置が求められます。更新審査では、維持審査の対象となる重点部分を含めた全体が審査の対象となります。
Pマーク
Pマークの認証期間は2年間です。つまり2年毎に更新が必要になります。
2年間の有効期間内に更新審査を行わなければならず、有効期間の終了する4カ月間(8カ月前から4カ月前までの間)に更新申請を行うのが原則となっています。
セキュリティ対策の違い
ISMS(SO27001)とPマークでは、セキュリティ対策にも違いがあります。それぞれの特徴を見ていきましょう。
ISMS(ISO27001)
ISMS(ISO27001)は「国際標準規格27001」つまり情報セキュリティシステムの「国際規格」のことです。ISMS(ISO27001)ではこの規格に準じるために必要な133の具体的な管理策を定めています。その中から、組織や企業の規模や保有する情報資産、かけられるコスト、現場での運用などを考慮したうえで、適したセキュリティ対策を選択することが可能です。
Pマーク
ISMS(ISO27001)が情報セキュリティシステムの国際規格であるのに対して、Pマークは「国内規格」です。またあらゆる情報資産を対象とするISMS(ISO27001)に対して、Pマークが対象とするのは情報資産は個人情報保護に限られています。Pマークでは個人情報保護のための手順を明確にしており、原則として企業や組織はそれに従ってセキュリティ対策を行うことが求められます。
プライバシーマーク・ISMSはどちらを取得するべきか
ここまでプライバシーマークとISMS(ISO27001)の違いについて紹介してきました。情報資産の重要性が高まるなかで、「どちらをどちらを取得するべきか」と比較されることの多い認証制度ですが、それぞれに特徴があり運用方法も異なることをお分かりいただけたかと思います。
主たる取り引きが個人を対象としたもので、扱う情報資産は個人情報のみという組織であればプライバシーマークの取得で十分だと言えます。一方で、主たる取り引きを企業間で行っていたり、あらゆる情報資産を扱っていたりする場合には、ISMS(ISO27001)が適しているでしょう。
また、現状のみならず、将来を見据えてどちらを取得するべきかを考えることも大切です。例えばリモートワークが普及したことで、オフィス以外のあらゆる場所から情報にアクセスしたり、やりとりしたりする機会が増えてくれば、情報資産を扱うためのマニュアルが必要になるはずです。または事業拡大に向けて、情報セキュリティシステムの構築が不十分であることがネックになる可能性も考えられます。情報化が加速するこれからの社会を長い目で見据えてみると、ISMS(ISO27001)の取得が望ましいケースもあるでしょう。
ISMS・プライバシーマークの違いを見極めてから取得の検討を
このようにISMS(ISO27001)とプライバシーマークには違いがありますが、どちらを取得するにしても、ISMS(ISO27001)とプライバシーマークはただのシンボルではないということを念頭に置いて違いを見極めてください。というのも、ISMS(ISO27001)とプライバシーマークは取得すればいいというのではなく、それぞれが求める規定に従って自社で運用していかなければならないものだからです。自社の事業内容や規模、現場での運用は可能かどうかなど、自社のビジネスとそれぞれ認証制度の特徴を照らし合わせながら、取得を検討していくことが望ましいでしょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。