2023年8月25日
プライバシーマークとISMS(ISO27001)のどちらを取得すべきか比較して、悩まれる方がたくさんいらっしゃいます。
プライバシーマークもISMSも同じような情報セキュリティに関する認証のように思えますが、比較してみると、考え方や目的・準拠している規格・適用範囲等が違う全くの別物です。
まずはプライバシーマークもISMSの違いを正しく認識し、御社の目的に合っているのはどちらなのか考えていきましょう。
1.PマークとISMSの概要
(1) Pマーク(プライバシーマーク)
個人情報の適切な取扱いを行う事業者として認定されたら付与されるマークです。
「プライバシーマーク」が正式名称ですが、「Pマーク(ピーマーク)」と呼ぶことも多いです。
取得企業数は17,000社を超えています。日本国内でのみ通用するマークです。
(2) ISMS
情報セキュリティマネジメントシステム( Information Security Management System )の略称です。
ISMSとは、組織が情報資産を適切に保護し、情報セキュリティを確保するための一連のプロセスや手法を指します。
認証する規格の名称はISO27001というISO規格です。
取得企業数は日本国内で7,000社を超えています。グローバルに通用します。
2.PマークとISMSの違い一覧表
プライバシーマークとISMS(ISO27001)の違いを表にしてみました。それぞれの違いについて、詳しくみていきましょう。
| 規格 | ISMS(ISO27001) | Pマーク(プライバシーマーク) |
|---|---|---|
| 対象事項 | 情報資産全般 | 個人情報のみ |
| グレード | 国際規格 グローバル視点で評価に値する | 国内規格 |
| 認証の範囲 | 事業・事業所・部門単位での取得も可能 | 1社全体(全部署・全従業員) |
| 認証までの期間 | 4~6か月 | 6~9か月 |
| 業界・市場 | IT業・ソフトウェア業・メーカーなど B to B取引や大手企業との取引に使われる | 人材派遣業・広告業・印刷業・社労士・ 通販業 など B to C 取引で一般ユーザーを対象にしている |
| 審査の違い | ■簡単 ①審査時に、「広く・浅く」見られる ②リスクに応じて対策が打てる、ルールに自由度有 ③認証範囲を選べる(全社・事業部・拠点等) ④審査機関すべて価格が違う=競争原理ある ⑤審査日数が対象人数に応じて変わる ⑥コンサルタントの審査立会が可能 | ■難しい ①審査時に「狭く・深く」見られる ②個人情報保護を基準に平均的なリスク対策が必要 ③組織全体で認証 ④審査機関すべて価格が同じ=競争原理なし ⑤審査が1日で終わる ⑥審査は従業員のみが立会可能 |
| 審査の頻度 | 3年に1回更新 審査は毎年1回以上 | 2年に1度 |
| 審査機関の対応スピード | 早い | 遅い 申請から審査まで3か月かかるケースも |
| 取引要件として | ISO27001が取引要件= × Pマーク取得 →Pマークを持っていても、 要件として包括されない | Pマークが取引要件= 〇 ISO27001認証 → ISO27001(ISMS)なら、 Pマークを包括できるケースが多い |
まず、プライバシーマークとISMS(ISO27001)では、保護する対象が異なります。
プライバシーマーク(Pマーク)では個人情報、ISMS(ISO27001)では情報資産すべてが対象になります。
比較すると、ISMS(ISO27001)のほうが保護対象の範囲が広く、マネジメントシステムの構築に時間を要することが多いです。
また、あまり知られていませんが、プライバシーマーク(Pマーク)は日本だけの規格なので日本国内でしか通用しません。
ISMS(ISO27001)は国際標準規格ISO27001をもとに運用が行われるため、グローバルな認証になります。
国際的な取引がある企業は、世界基準で情報セキュリティが承認されるという理由で、ISMS(ISO27001)を認証取得するケースが多いです。
つぎに、認証の範囲を比較してみましょう。
プライバシーマーク(Pマーク)は企業ごとの取得しか認められていませんので、必ず会社全体(全部署・全従業員)を認証範囲とします。
一方、ISMS(ISO27001)は「〇〇部だけで認証取得」「〇〇工場だけで認証取得」など認証範囲を設定することができます。
3.審査の違い
審査の際の違いを大きく2項目に分けて紹介します。
(1) 審査での要求の違い
プライバシーマーク(Pマーク)
・企業内のすべての個人情報の取扱いが審査の対象
保有する個人情報を保護することを要求しているので、
手順や作成する文書などが規格(JISQ15001)で定められています。
枠組みから外れた場合は認証取得することができません。
ISMS(ISO27001)
・情報資産全般が審査の対象
情報資産を保護するための仕組みや体制づくりを要求しており、
定められている手順はないので企業内の情報資産に対して114項目ある審査のポイントを元に
自社の体制に合わせた文書やルールを作成することができます。
(2) 更新タイミングの違い
プライバシーマーク(Pマーク)
・取得後は2年ごとに更新審査を受けることが必要
ISMS(ISO27001)
・更新までの期間に1年に1度維持審査がある
認定の期間は3年間ですが、毎年審査を受ける必要があります。
4.取得にかかる費用の違い
Pマーク取得とISMS取得では、かかる費用に大きな違いがあります。
1番大きな違いは、Pマークは全社での取得となることに対し、ISMSは認証の範囲を設定することにより生まれる違いです。
ISMSは、必要な部署や事業に絞って取得できることで費用を抑えることができるケースもあります。
(1) Pマークの審査費用
・審査の費用は小規模、中規模、大規模で変わる、新規取得時と更新時でも違いがある
規模の定義は以下の表でご確認ください。
| 小規模 | 中規模 | 大規模 |
|
|---|---|---|---|
| 製造業・その他 | 2~20人 | 3億円以下または、21~300人 | 3億円超、かつ301人~ |
| 卸売業 | 2~5人 | 1億円以下または、6~100人 | 1億円超、かつ101人~ |
| 小売業 | 2~5人 | 5千万円以下または、6~50人 | 5千万円超、かつ51人~ |
| サービス業 | 2~5人 | 5千万円以下または、6~100人 | 5千万円超、かつ101人~ |
新規取得時と更新時の費用は以下の表でご確認ください。
新規取得時
単位:円(消費税10%込)
| 事業者規模 | 小規模 | 中規模 | 大規模 |
|---|---|---|---|
| 申請料 | 52,382円 | ||
| 審査料 | 209,524円 | 471,429円 | 995,238円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 314,288円 | 628,573円 | 1,257,144円 |
更新時
単位:円(消費税10%込)
| 事業者規模 | 小規模 | 中規模 | 大規模 |
|---|---|---|---|
| 申請料 | 52,382円 |
||
| 審査料 | 125,714円 | 314,286円 | 680,952円 |
| 付与登録料 | 52,382円 | 104,762円 | 20,9524円 |
| 合計 | 230,478円 | 471,430円 | 942,858円 |
(2) ISMSの審査費用
・審査の費用は対象人数や拠点数により、段階的に価格が上がっていく
ISMS審査の費用は審査機関によっても違いがあります。
詳しいISMS審査費用は以下の表でご確認ください。
ISMS審査費用
※審査機関により料金の変動がある場合があります。
| 人数/年 | 初回(新規) | 2年目(維持) | 3年目(維持) | 4年目(更新) |
|---|---|---|---|---|
| 1~10 | 590,000 | 270,000 | 270,000 | 435,000 |
| 11~15 | 750,000 | 310,000 | 310,000 | 540,500 |
| 16~25 | 822,000 | 370,000 | 370,000 | 585,000 |
| 26~45 | 1,030,000 | 440,500 | 440,500 | 700,000 |
| 46~65 | 1,190,000 | 540,000 | 540,000 | 780,000 |
| 66~85 | 1,380,500 | 590,000 | 590,000 | 910,000 |
| 86~99 | 1,440,000 | 630,000 | 630,000 | 1,000,000 |
| 100~125 | 1,613,500 | 700,000 | 700,000 | 1,140,000 |
さらに詳細な審査費用、取得にかかる費用の概算が知りたい…
そんな方は是非お気軽にお問合せください。
5.取得されている業界・市場の違い
取得企業数、取得されている業界・市場や取引要件としての違いについて説明いたします。
プライバシーマーク(Pマーク)取得企業数は、全国で16,577社(2021年3月時点)です。個人情報を取り扱うBtoCのサービス企業の取得が多く、人材派遣業、印刷業、士業、 ITシステム業と取得企業が続きます。
取引先からの取得要求で取得を目指す企業が多いです。
また、公官庁の入札案件参加条件としてプライバシーマークが必要な場合もあります。
プライバシーマークの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。
ISMS(ISO27001)の取得企業数は、日本で7317社です。(2021年3月時点)情報セキュリティ対策が安全である証明として取得している企業が多く、BtoCのサービス企業や、ITシステム業が取得しています。
ISMSの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。
まだまだ疑問点がある…という方へ、
無料の解説資料を現在プレゼント中です!ぜひご活用ください。
6.結局どちらを取得した方が良いのか?
プライバシーマークとISMS(ISO27001)のどちらを取得した方がいいのかについては、
取引先からの要求や入札案件の入札条件として、どちらが求められているかで変わります。
プライバシーマークは、個人情報の取扱いにより特化した運用ルールを順守する必要があります。
そのため個人情報を多く扱うBtoCのサービス企業はプライバシーマークの取得を目指す企業が多いです。
ISMS(ISO27001)は、情報セキュリティ対策が取られているかの認証マークになるためシステム開発や運用を行うITシステム業の取得が多いです。
ただし、情報セキュリティ対策の中には個人情報の取扱いも含まれるので個人情報の取扱いが多いからプライバシーマークの取得にした方がいいとは一概には言えません。
規格の違いを理解した上で、顧客要求に従ってプライバシーマークかISMS(ISO27001)のどちらを取得するか決めるのが良いでしょう。
まとめ
プライバシーマークとISMS(ISO27001)は似たような情報セキュリティに関する認証に見えますが、違う点も多くあります。
単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS(ISO27001)」、「どうせやるなら個人情報も含むISMS(ISO27001)」と、簡単に決めるのではなく、なぜ情報セキュリティに関する認証が必要なのか、取得の動機を確認した上で将来の展望からどちらの規格の取得・運用が有効であるかを判断しましょう。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ