いつもご愛読ありがとうございます。認証パートナーコンサルタントの田牧です。
今回は「PマークとISMSを一緒に進める3つのポイント」について、お伝えさせて頂きます。

１．PマークとISO27001（ISMS）の違いについて

Pマーク（プライバシーマーク）とは？
企業などの組織が個人情報を保護する体制を整備し、定められた通り実行、定期的な確認、継続的に改善するための管理の仕組みを構築・運用している組織に付与するもの。

ISO27001（ISMS）とは？
企業などの組織が各種情報資産（個人情報含む）を適切に管理し、機密を守るための包括的な枠組み。
コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針や、それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指す。

つまりPマーク（プライバシーマーク）は個人情報の保護（セキュリティ）に特化したものであり、ISMSは各種情報資産の保護（セキュリティ）に関するものです。
「情報セキュリティ」が共通するため、よく比較されているのです。

「Pマーク（プライバシーマーク）」に対する印象はいかがでしょうか？
Pマーク（プライバシーマーク）は日本全国約14,000組織が認定されております。
また、取得団体が、一般財団法人日本情報経済社会推進協会 (JIPDEC)、つまり日本の組織が日本の企業・団体を取得する、日本における規格であり、非常になじみのあるものとなっているようです。

「ISO27001（ISMS）」に対する印象はいかがでしょうか？
ISO＝国際標準化機構、つまり国際機関（本部はスイス）が取得するISO27001（ISMS）は、国際的な規格取得となります。
私の規格取得をお手伝いする企業・団体様からは「ISO27001（ISMS）は国際規格であることが、取得困難なイメージがある」とのご意見をよくお伺いします。

以上のことより、

Pマーク（プライバシーマーク）
①個人情報の保護に特化した規格取得である。
②日本国内における日本企業・団体等の組織への規格取得である。

ISO27001（ISMS）
①情報資産（個人情報含む）の保護に関する規格取得である。
②国際的な規格取得であり、一般的に取得に困難なイメージがある。

２．Pマーク（プライバシーマーク）とISO27001（ISMS）の取得までの期間・費用などその実態について

弊社が規格取得でお手伝いをするお客様から寄せられる最も多い疑問・質問についてまとめました。

１）申請後からの取得までの期間

審査を受けるためには、両規格共に運用実態が必要になります。運用期間については企業・団体に応じ違いがあるので、申請後からの取得までの期間を比較すると、大きな違いが出てきます。

Pマーク（プライバシーマーク）は最短で3ヶ月～12ヶ月程度、ISO27001（ISMS）は3ヶ月～4ヶ月程度で取得となります。
この違いは審査方法にあります。

Pマーク（プライバシーマーク）はJIS規格に基づいた審査であることに加え、その審査員の規格解釈・意向が大きく反映される審査内容・方法となっています。
審査員の規格解釈・意向を反映するために多くの時間を費やさなくてはならず、取得まで長時間を要し、取得時期が不明瞭となっています。

ISO27001（ISMS）は、ISO及びJIS規格に基づいた審査であり、必要な対処・対応が明確となっています。
また、審査において不適合等が発生したとしてもその対応期間も明確にされるため、現地審査日が決定されれば、大凡の取得時期を明確にすることができます。
さらに、お客様のご要望する取得時期に応じ、ある一定の対応が可能な場合も多々あります。

２）取得範囲（対象）

Pマーク（プライバシーマーク）は、取得を希望する、その企業・団体ごとで審査等を実施します。
つまり対象が全従業員となるため、各種運用を全従業員に対して実施することが求められます。

ISO27001（ISMS）は、取得範囲は取得を希望する、その企業・団体ごとで設定することができます。
全拠点、支店単位、部署単位など必用性、費用対効果など、様々な観点から取得範囲を決定することとなります。

３）審査、取得費用

Pマーク（プライバシーマーク）の有効期間は2年間です。2年に一度の現地審査を受ける必要があります。
また審査費用は、従業員数、資本金、主たる業務内容により費用が異なりますが、JIPDECのHPで概ね確認することができます。
また、審査機関により入会金・年会費等を要する場合があります。

ISO27002（ISMS）の有効期間は3年間ですが、毎年維持審査（サーベイランス）が必要となります。
審査費用は、取得範囲の従業員数、拠点数、業務内容等により変動があります。
また、審査機関により費用に変動がありますので、複数の審査機関より御見積を取得することをおススメします。

４）その他

お客様の最もご心配なのが現地審査についてです。
Pマーク（プライバシーマーク）は自社の従業者以外の者が審査に立ち会うことは規約に違反する行為であり、審査が打ち切られる可能性があります。

これに対し、ISO27001(ISMS)はコンサルタントが事務局として運用をお手伝いしている場合は、事務局として立ち会うことが認められます。

３．Pマーク（プライバシーマーク）とISO27001（ISMS）は同時に運用について

多くのお客様が、「Pマーク（プライバシーマーク）かISO27001（ISMS）のどちらかを取得したい」と悩まれることがあります。

これまで述べてきたように、Pマーク（プライバシーマーク）は個人情報のセキュリティに特化したものであり、ISO27001（ISMS）は個人情報を含めた情報資産のセキュリティに対するものです。
これらの観点や取引先等からの要求で、どちらかの取得を決定されるお客様もいらっしゃいますが、さらに、両規格とも取得されるお客様も数多くいらっしゃいます。

実は、Pマーク（プライバシーマーク）やISO27001（ISMS）はセキュリティの対象が若干違いますが、中心はセキュリティということで、必要な運用活動が非常に酷似していることが多くあります。

例えば、「法令の特定」「個人情報の特定」「リスク分析」「委託先評価」「教育」などはその最たるものです。
これらの活動をそれぞれの規格等で求められる活動としてある一定度見ることが可能であり、同時に運用することはそこまで大きな負担とならないのです。

このことをご理解されておらず、Pマーク（プライバシーマーク）とISO27011（ISMS）のそれぞれでご担当がいらっしゃるような企業・団体様もまれに見受けられます。
Pマーク（プライバシーマーク）とISO27001(ISMS)どちらかの取得で迷われた場合には、両規格取得も視野に入れて検討することも良いかもしれません。

以上、Pマーク（プライバシーマーク）とISO27001(ISMS)の違い、実状等をご理解いただき、今後の新規取得または運用等に活かして頂けたらと思います。