ISMS（ISO27001）とPマークの違い

ISMS（ISO27001）とPマーク（プライバシーマーク）はどちらも情報セキュリティに関する規定であり、似たような印象を持たれがちですが、じつはその目的や対象は全く異なります。ここでは、導入目的・守るべきもの・文書と記録の3つのポイントで、それぞれの違いを明らかにしていきます。

導入目的の違い

ISMS（ISO27001）

ISMS（ISO27001）導入の目的は、企業や組織において、「機密性」「完全性」「可用性」の3要素を確保し、情報資産をしっかりと守りつつ、扱いやすい体制を構築すること。ISMS（ISO27001）の取得後も、内部監査と外部審査機関による外部監査を繰り返し、情報セキュリティの継続的改善をめざします。

Pマーク

インターネットの発展によって個人情報がネットワーク上に行き交い、コンピューターによって処理されることが増え、個人情報の保護が必須となりました。そこで誕生したのがPマークです。

Pマーク制度は、企業や組織が個人情報を適切に扱うための整備をおこなっていることを評価するもので、一般財団法人日本情報経済社会推進協会によって認定されます。

同協会では、その目的として「消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること」「適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること」を挙げています。

守るべきものの違い

ISMS（ISO27001）

企業や組織が自ら定めた適用範囲にある、すべての情報資産が対象となります。

Pマーク

対象は個人情報のみに限定されますが、個人情報を扱わない部署や拠点も含めて、企業・組織全体が適用範囲となります。

費用、期間、実績別
おすすめISMS認証コンサルはこちら

文書／記録に付いての違い

ISMS（ISO27001）

ISO27001から提示された要求事項に従って、企業・組織の方針・運用方法などを策定し、計画書・運用記録などを文書化して記録します。策定した内容をPDCAサイクルに落とし込んで運営し、常に記録を残しながら、継続的に改善することが求められます。

Pマーク

ISMS（ISO27001）における運用と同様に、文書やマニュアルを策定・作成し常に記録を継続しながらPDCAを繰り返して継続的改善に取り組みます。

ISMS（ISO27001）が組織・企業の利害関係者を広く対象としているのに対し、Pマークは消費者目線であることが大きな違いです。

更新タイミングの違い

ISMS（SO27001）とPマークでは、どちらも一度取得すればずっと認証が続くわけではなく、有効期限があります。ただしISMS（SO27001）とPマークでは有効期限が違います。ここでは、ISMSとPマークそれぞれの更新のタイミングについて見ていきましょう。

ISMS（ISO27001）

ISMS（ISO27001）の認証期間は3年間です。つまり3年毎に更新が必要になります。

ただし、毎年維持審査（または定期審査）と言われるものが毎年あり、重点のみにクローズアップしてISMSの運用が認証した内容の通りに実施されているかどうかをチェックしています。もしここで改善が必要という指摘を受けると、是正処置が求められます。更新審査では、維持審査の対象となる重点部分を含めた全体が審査の対象となります。

Pマーク

Pマークの認証期間は2年間です。つまり2年毎に更新が必要になります。

2年間の有効期間内に更新審査を行わなければならず、有効期間の終了する4カ月間（8カ月前から4カ月前までの間）に更新申請を行うのが原則となっています。

セキュリティ対策の違い

ISMS（SO27001）とPマークでは、セキュリティ対策にも違いがあります。それぞれの特徴を見ていきましょう。

ISMS（ISO27001）

ISMS（ISO27001）は「国際標準規格27001」つまり情報セキュリティシステムの「国際規格」のことです。ISMS（ISO27001）ではこの規格に準じるために必要な133の具体的な管理策を定めています。その中から、組織や企業の規模や保有する情報資産、かけられるコスト、現場での運用などを考慮したうえで、適したセキュリティ対策を選択することが可能です。

Pマーク

ISMS（ISO27001）が情報セキュリティシステムの国際規格であるのに対して、Pマークは「国内規格」です。またあらゆる情報資産を対象とするISMS（ISO27001）に対して、Pマークが対象とするのは情報資産は個人情報保護に限られています。Pマークでは個人情報保護のための手順を明確にしており、原則として企業や組織はそれに従ってセキュリティ対策を行うことが求められます。

プライバシーマーク・ISMSはどちらを取得するべきか

ここまでプライバシーマークとISMS（ISO27001）の違いについて紹介してきました。情報資産の重要性が高まるなかで、「どちらをどちらを取得するべきか」と比較されることの多い認証制度ですが、それぞれに特徴があり運用方法も異なることをお分かりいただけたかと思います。

主たる取り引きが個人を対象としたもので、扱う情報資産は個人情報のみという組織であればプライバシーマークの取得で十分だと言えます。一方で、主たる取り引きを企業間で行っていたり、あらゆる情報資産を扱っていたりする場合には、ISMS（ISO27001）が適しているでしょう。

また、現状のみならず、将来を見据えてどちらを取得するべきかを考えることも大切です。例えばリモートワークが普及したことで、オフィス以外のあらゆる場所から情報にアクセスしたり、やりとりしたりする機会が増えてくれば、情報資産を扱うためのマニュアルが必要になるはずです。または事業拡大に向けて、情報セキュリティシステムの構築が不十分であることがネックになる可能性も考えられます。情報化が加速するこれからの社会を長い目で見据えてみると、ISMS（ISO27001）の取得が望ましいケースもあるでしょう。

ISMS・プライバシーマークの違いを見極めてから取得の検討を

このようにISMS（ISO27001）とプライバシーマークには違いがありますが、どちらを取得するにしても、ISMS（ISO27001）とプライバシーマークはただのシンボルではないということを念頭に置いて違いを見極めてください。というのも、ISMS（ISO27001）とプライバシーマークは取得すればいいというのではなく、それぞれが求める規定に従って自社で運用していかなければならないものだからです。自社の事業内容や規模、現場での運用は可能かどうかなど、自社のビジネスとそれぞれ認証制度の特徴を照らし合わせながら、取得を検討していくことが望ましいでしょう。