2024年5月29日
プライバシーマークとISMS(ISO27001)のどちらを取得すべきか比較して、悩まれる方がたくさんいらっしゃいます。
プライバシーマークもISMSも同じような情報セキュリティに関する認証のように思えますが、比較してみると、考え方や目的・準拠している規格・適用範囲等が違う全くの別物です。
まずはプライバシーマークもISMSの違いを正しく認識し、御社の目的に合っているのはどちらなのか考えていきましょう。
1.PマークとISMSの概要
(1) Pマーク(プライバシーマーク)
個人情報の適切な取扱いを行う事業者として認定されたら付与されるマークです。
「プライバシーマーク」が正式名称ですが、「Pマーク(ピーマーク)」と呼ぶことも多いです。
取得企業数は17,000社を超えています。日本国内でのみ通用するマークです。
(2) ISMS
情報セキュリティマネジメントシステム( Information Security Management System )の略称です。
ISMSとは、組織が情報資産を適切に保護し、情報セキュリティを確保するための一連のプロセスや手法を指します。
認証する規格の名称はISO27001というISO規格です。
取得企業数は日本国内で7,000社を超えています。グローバルに通用します。
2.PマークとISMSの思想の違い
プライバシーマーク制度は、その根底に「個々の人々(情報主体)のプライバシー権を守る」という思想を持っています。
ここでのプライバシー権とは、自分自身の情報を自分で管理できる権利を指します。
現代社会では、自分の情報を誰にも知られずに保つことはほぼ不可能であり、逆に自分の情報を一定の範囲で提供することで得られる便利なサービスも多く存在します。
このような状況を考慮し、情報主体が自分の意志で個人情報を提供し、その情報を自分で管理できることが、情報化社会におけるプライバシー権の理想的な形であるとされています。
そのため、プライバシーマーク制度では、組織が個人情報の収集、利用、廃棄というプロセスを定義し、情報主体の同意を得ながらそれを運用するという特性があります。
一方、ISMSは、組織が保有する情報資産に対する脅威や弱点を認識し、その脅威が発生する頻度などを考慮に入れてリスクを評価し、リスクを軽減する対策を行うことを目的としています。
極端に言えば、ISMSは自社を保護するための管理フレームワークであり、顧客の保護は自社の保護の一部と考えられます。
したがって、PマークとISMSは、その思想、背景、目的が全く異なります。しかし、個人情報保護という観点から見れば、どちらも個人情報の保護を保証していると言えます。
特にISMSでは、情報の漏洩、滅失、棄損ではなく、情報の機密性、完全性、可用性のバランスを重視しているため、必ずしも個人情報の保護を目指しているわけではないという点が重要です。
3.PマークとISMSの違い一覧表
プライバシーマークとISMS(ISO27001)の違いを表にしてみました。それぞれの違いについて、詳しくみていきましょう。
| 規格 | ISMS(ISO27001) | Pマーク(プライバシーマーク) |
|---|---|---|
| 対象事項 | 情報資産全般 | 個人情報のみ |
| グレード | 国際規格 グローバル視点で評価に値する | 国内規格 |
| 認証の範囲 | 事業・事業所・部門単位での取得も可能 | 1社全体(全部署・全従業員) |
| 認証までの期間 | 4~6か月 | 6~9か月 |
| 業界・市場 | IT業・ソフトウェア業・メーカーなど B to B取引や大手企業との取引に使われる | 人材派遣業・広告業・印刷業・社労士・ 通販業 など B to C 取引で一般ユーザーを対象にしている |
| 審査の違い | ■簡単 ①審査時に、「広く・浅く」見られる ②リスクに応じて対策が打てる、ルールに自由度有 ③認証範囲を選べる(全社・事業部・拠点等) ④審査機関すべて価格が違う=競争原理ある ⑤審査日数が対象人数に応じて変わる ⑥コンサルタントの審査立会が可能 | ■難しい ①審査時に「狭く・深く」見られる ②個人情報保護を基準に平均的なリスク対策が必要 ③組織全体で認証 ④審査機関すべて価格が同じ=競争原理なし ⑤審査が1日で終わる ⑥審査は従業員のみが立会可能 |
| 審査の頻度 | 3年に1回更新 審査は毎年1回以上 | 2年に1度 |
| 審査機関の対応スピード | 早い | 遅い 申請から審査まで3か月かかるケースも |
| 取引要件として | ISO27001が取引要件= × Pマーク取得 →Pマークを持っていても、 要件として包括されない | Pマークが取引要件= 〇 ISO27001認証 → ISO27001(ISMS)なら、 Pマークを包括できるケースが多い |
まず、プライバシーマークとISMS(ISO27001)では、保護する対象が異なります。
Pマークは企業全体の個人情報保護を目的としているのに対し、ISMSは企業が自由に設定した範囲内の情報資産(個人情報を含む)のリスク対応を目的としています。
そのため、ISMSはPマークよりも企業内における保護範囲が広く、マネジメントシステムの構築に時間を要することが多いです。また、Pマークは個人情報保護に特化しているため、その他の情報資産の保護は含まれません。
続いて、規格のグレードについて比較してみましょう。
プライバシーマークとISMSは、それぞれ異なる規格に基づいています。
Pマークは、日本のJISQ15001規格に基づいて運用されています。これは個人情報保護法を基にした規格で、国際規格に準拠しているわけではないため、プライバシーマークの適用範囲は日本国内に限られます。
一方、ISMSは、国際的な標準規格ISO /IEC27001に準拠しており、日本ではJISQ27001の規格に基づいて運用されています。
これにより、ISMS認証を取得した企業は、国際規格に適合した運営を行っていると認識されます。
そのため、国際的な取引がある企業は、世界基準で情報セキュリティが承認されるという理由で、ISMS(ISO27001)を認証取得するケースが多いです。
最後に、認証の範囲を比較してみましょう。
プライバシーマークは企業ごとの取得しか認められていないため、必ず会社全体(全部署・全従業員)を認証範囲とし、全ての部署が規格に従う必要があります。
一方、ISMSは対象範囲を限定して認証を取得できるため、情報資産が少ない部署を除外することが可能です。そのため、「〇〇部のみでの認証取得」や「〇〇工場のみでの認証取得」など、認証範囲を設定することができます。
4.要求している内容の違い
PマークとISMSは、情報セキュリティと個人情報保護の両面に焦点を当てていますが、それぞれの要件には微妙な違いがあります。
Pマークは個人情報の保護に焦点を当てており、その規格は厳格に定められています。
プライバシーマーク認証を受ける企業は、個人情報の取り扱いに関する規格に従って運用することが求められます。
そのため、Pマークを取得する企業は、同じ規格に基づいて運用されており、管理方法において一定の統一性が見られます。柔軟性は相対的に低く、規格外の運用は認められません。
一方、ISMSは、情報資産に対するリスク管理や対応が中心です。
そのため、組織には自身のリスクやニーズに合わせて、適切な管理体制や仕組みを構築することが求められます。また、要求内容に対するアプローチ方法は比較的柔軟であり、企業は独自の手順や文書を作成することが可能です。
要するに、Pマークは個人情報の保護に厳格な規格が適用され、標準化された運用が求められる一方、ISMSは組織のニーズに合わせて柔軟に対応できます。
5.セキュリティ対策の違い
Pマークは、企業の状況に応じた個人情報保護のセキュリティ対策が求められます。ISMSと似ているように見えますが、既定の手続きに従った運用が必要です。
たとえば、Pマークでは、個人情報を取得する際には、利用目的を明記した同意書の取得が必須です。一方、対策方法が指定されており、取得時には特に考慮することなく、指定された対策を実施すれば良いという特性があります。
それに対して、ISMSは、93の具体的な管理策から、企業の規模や情報資産、コストパフォーマンスを考慮して選択する柔軟性があります。これにより、適切なマネジメントシステムを構築することが可能です。また、ISMSでは、個人情報の取得方法は自社の体制に合わせて調整できます。
したがって、PマークとISMSはセキュリティ対策としては異なり、ISMSはより柔軟な対策が可能です。
6.審査の違い
審査の際の違いを大きく2項目に分けて紹介します。
(1) 審査での要求の違い
プライバシーマーク(Pマーク)
・企業内のすべての個人情報の取扱いが審査の対象
保有する個人情報を保護することを要求しているので、
手順や作成する文書などが規格(JISQ15001)で定められています。
枠組みから外れた場合は認証取得することができません。
ISMS(ISO27001)
・情報資産全般が審査の対象
情報資産を保護するための仕組みや体制づくりを要求しており、
定められている手順はないので企業内の情報資産に対して114項目ある審査のポイントを元に
自社の体制に合わせた文書やルールを作成することができます。
(2) 更新タイミングの違い
プライバシーマーク(Pマーク)
・取得後は2年ごとに更新審査を受ける必要があります。
ISMS(ISO27001)
・更新までの期間に1年に1度維持審査があります。
認定の期間は3年間ですが、毎年審査を受ける必要があります。
7.取得にかかる費用の違い
Pマーク取得とISMS取得では、かかる費用に大きな違いがあります。
最大の違いは、Pマークが全社での取得が必要なのに対して、ISMSは認証の範囲を設定することで差が生まれる、という点です。
ISMSは、必要な部署や事業に絞って取得できることで費用を抑えることができるケースもあります。
(1) Pマークの審査費用
・審査の費用は小規模、中規模、大規模で変わる、新規取得時と更新時でも違いがある
規模の定義は以下の表でご確認ください
| 小規模 | 中規模 | 大規模 | |
|---|---|---|---|
| 製造業・その他 | 2~20人 | 3億円以下または、21~300人 | 3億円超、かつ301人~ |
| 卸売業 | 2~5人 | 1億円以下または、6~100人 | 1億円超、かつ101人~ |
| 小売業 | 2~5人 | 5千万円以下または、6~50人 | 5千万円超、かつ51人~ |
| サービス業 | 2~5人 | 5千万円以下または、6~100人 | 5千万円超、かつ101人~ |
(2) ISMSの審査費用
・審査の費用は対象人数や拠点数により、段階的に価格が上がっていく
ISMS審査の費用は審査機関によっても違いがあります。
詳しいISMS審査費用は以下の表でご確認ください。
ISMS審査費用
※審査機関により料金の変動がある場合があります。
| 人数/年 | 初回(新規) | 2年目(維持) | 3年目(維持) | 4年目(更新) |
|---|---|---|---|---|
| 1~10 | 590,000 | 270,000 | 270,000 | 435,000 |
| 11~15 | 750,000 | 310,000 | 310,000 | 540,500 |
| 16~25 | 822,000 | 370,000 | 370,000 | 585,000 |
| 26~45 | 1,030,000 | 440,500 | 440,500 | 700,000 |
| 46~65 | 1,190,000 | 540,000 | 540,000 | 780,000 |
| 66~85 | 1,380,500 | 590,000 | 590,000 | 910,000 |
| 86~99 | 1,440,000 | 630,000 | 630,000 | 1,000,000 |
| 100~125 | 1,613,500 | 700,000 | 700,000 | 1,140,000 |
さらに詳細な審査費用、取得にかかる費用の概算が知りたい…
そんな方は是非お気軽にお問合せください。
8.取得されている業界・市場の違い
取得企業数、取得されている業界・市場や取引要件としての違いについて説明します。
プライバシーマーク(Pマーク)取得企業数は、全国で17,606社(2024年3月時点)です。個人情報を取り扱うBtoCのサービス企業の取得が多く、人材派遣業、印刷業、士業、 ITシステム業と取得企業が続きます。
取引先からの取得要求で取得を目指す企業が多いです。
また、公官庁の入札案件参加条件としてプライバシーマークが必要な場合もあります。
プライバシーマークの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。
ISMS(ISO27001)の取得企業数は、日本で7,682社(2024年3月時点)です。情報セキュリティ対策が安全である証明として取得している企業が多く、BtoCのサービス企業や、ITシステム業が取得しています。
I
ISMSの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。
まだまだ疑問点がある…という方へ、
無料の解説資料を現在プレゼント中です!ぜひご活用ください。
9.結局どちらを取得した方が良いのか?
プライバシーマークとISMS(ISO27001)のどちらを取得した方がいいのかについては、
取引先からの要求や入札案件の入札条件として、どちらが求められているかで変わります。
プライバシーマークは、個人情報の取扱いにより特化した運用ルールを順守する必要があります。
そのため個人情報を多く扱うBtoCのサービス企業はプライバシーマークの取得を目指す企業が多いです。
ISMS(ISO27001)は、情報セキュリティ対策が取られているかの認証マークになるためシステム開発や運用を行うITシステム業の取得が多いです。
ただし、情報セキュリティ対策の中には個人情報の取扱いも含まれるので個人情報の取扱いが多いからプライバシーマークの取得にした方がいいとは一概には言えません。
規格の違いを理解した上で、顧客要求に従ってプライバシーマークかISMS(ISO27001)のどちらを取得するか決めるのが良いでしょう。
まとめ
プライバシーマークとISMS(ISO27001)は似たような情報セキュリティに関する認証に見えますが、違う点も多くあります。
単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS(ISO27001)」、「どうせやるなら個人情報も含むISMS(ISO27001)」と、簡単に決めるのではなく、なぜ情報セキュリティに関する認証が必要なのか、取得の動機を確認した上で将来の展望からどちらの規格の取得・運用が有効であるかを判断しましょう。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ