Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!

スタッフ写真
スタッフ写真

2023年8月25日

【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!

プライバシーマークとISMS(ISO27001)のどちらを取得すべきか比較して、悩まれる方がたくさんいらっしゃいます。
プライバシーマークもISMSも同じような情報セキュリティに関する認証のように思えますが、比較してみると、考え方や目的・準拠している規格・適用範囲等が違う全くの別物です。
まずはプライバシーマークもISMSの違いを正しく認識し、御社の目的に合っているのはどちらなのか考えていきましょう。

1.PマークとISMSの概要

(1) Pマーク(プライバシーマーク)

個人情報の適切な取扱いを行う事業者として認定されたら付与されるマークです。
「プライバシーマーク」が正式名称ですが、「Pマーク(ピーマーク)」と呼ぶことも多いです。
取得企業数は17,000社を超えています。日本国内でのみ通用するマークです。

 

(2) ISMS

情報セキュリティマネジメントシステム( Information Security Management System )の略称です。
ISMSとは、組織が情報資産を適切に保護し、情報セキュリティを確保するための一連のプロセスや手法を指します。
認証する規格の名称はISO27001というISO規格です。
取得企業数は日本国内で7,000社を超えています。グローバルに通用します。

 

2.PマークとISMSの違い一覧表

プライバシーマークとISMS(ISO27001)の違いを表にしてみました。それぞれの違いについて、詳しくみていきましょう。


規格ISMS(ISO27001)Pマーク(プライバシーマーク)
対象事項情報資産全般個人情報のみ
グレード国際規格
グローバル視点で評価に値する
国内規格
認証の範囲事業・事業所・部門単位での取得も可能1社全体(全部署・全従業員)
認証までの期間4~6か月6~9か月
業界・市場IT業・ソフトウェア業・メーカーなど
B to B取引や大手企業との取引に使われる
人材派遣業・広告業・印刷業・社労士・ 通販業
など B to C 取引で一般ユーザーを対象にしている

審査の違い■簡単
①審査時に、「広く・浅く」見られる
②リスクに応じて対策が打てる、ルールに自由度有
認証範囲を選べる(全社・事業部・拠点等)
④審査機関すべて価格が違う=競争原理ある
⑤審査日数が対象人数に応じて変わる
⑥コンサルタントの審査立会が可能
■難しい
①審査時に「狭く・深く」見られる
②個人情報保護を基準に平均的なリスク対策が必要
組織全体で認証
④審査機関すべて価格が同じ=競争原理なし
⑤審査が1日で終わる
⑥審査は従業員のみが立会可能
審査の頻度3年に1回更新
審査は毎年1回以上
2年に1度
審査機関の対応スピード早い遅い
申請から審査まで3か月かかるケースも
取引要件として

ISO27001が取引要件= × Pマーク取得
→Pマークを持っていても、
要件として包括されない

Pマークが取引要件= 〇 ISO27001認証
→ ISO27001(ISMS)なら、
Pマークを包括できるケースが多い


 

まず、プライバシーマークとISMS(ISO27001)では、保護する対象が異なります。
プライバシーマーク(Pマーク)では個人情報、ISMS(ISO27001)では情報資産すべてが対象になります。
比較すると、ISMS(ISO27001)のほうが保護対象の範囲が広く、マネジメントシステムの構築に時間を要することが多いです。

また、あまり知られていませんが、プライバシーマーク(Pマーク)は日本だけの規格なので日本国内でしか通用しません。
ISMS(ISO27001)は国際標準規格ISO27001をもとに運用が行われるため、グローバルな認証になります。
国際的な取引がある企業は、世界基準で情報セキュリティが承認されるという理由で、ISMS(ISO27001)を認証取得するケースが多いです。

つぎに、認証の範囲を比較してみましょう。
プライバシーマーク(Pマーク)は企業ごとの取得しか認められていませんので、必ず会社全体(全部署・全従業員)を認証範囲とします。
一方、ISMS(ISO27001)は「〇〇部だけで認証取得」「〇〇工場だけで認証取得」など認証範囲を設定することができます。

プロのコンサルタントがお悩みをお伺いします!

3.審査の違い

審査の際の違いを大きく2項目に分けて紹介します。

(1) 審査での要求の違い

プライバシーマーク(Pマーク)
・企業内のすべての個人情報の取扱いが審査の対象
保有する個人情報を保護することを要求しているので、
手順や作成する文書などが規格(JISQ15001)で定められています。
枠組みから外れた場合は認証取得することができません。

ISMS(ISO27001)
・情報資産全般が審査の対象
情報資産を保護するための仕組みや体制づくりを要求しており、
定められている手順はないので企業内の情報資産に対して114項目ある審査のポイントを元に
自社の体制に合わせた文書やルールを作成することができます。

 

(2) 更新タイミングの違い

プライバシーマーク(Pマーク)
・取得後は2年ごとに更新審査を受けることが必要

ISMS(ISO27001)
・更新までの期間に1年に1度維持審査がある
認定の期間は3年間ですが、毎年審査を受ける必要があります。

 

4.取得にかかる費用の違い

Pマーク取得とISMS取得では、かかる費用に大きな違いがあります。
1番大きな違いは、Pマークは全社での取得となることに対し、ISMSは認証の範囲を設定することにより生まれる違いです。
ISMSは、必要な部署や事業に絞って取得できることで費用を抑えることができるケースもあります。

 

(1) Pマークの審査費用

・審査の費用は小規模、中規模、大規模で変わる、新規取得時と更新時でも違いがある

規模の定義は以下の表でご確認ください。

 小規模
中規模
大規模
製造業・その他
2~20人
3億円以下または、21~300人
3億円超、かつ301人~
卸売業
2~5人
1億円以下または、6~100人
1億円超、かつ101人~
小売業
2~5人
5千万円以下または、6~50人
5千万円超、かつ51人~
サービス業
2~5人
5千万円以下または、6~100人
5千万円超、かつ101人~

新規取得時と更新時の費用は以下の表でご確認ください。

新規取得時
単位:円(消費税10%込)

事業者規模
小規模
中規模
大規模
申請料52,382円
審査料
209,524円
471,429円
995,238円
付与登録料52,382円
104,762円
209,524円
合計
314,288円
628,573円
1,257,144円

更新時
単位:円(消費税10%込)

事業者規模
小規模
中規模
大規模
申請料
52,382円
審査料
125,714円314,286円
680,952円
付与登録料
52,382円104,762円20,9524円
合計
230,478円471,430円
942,858円

 

(2) ISMSの審査費用

・審査の費用は対象人数や拠点数により、段階的に価格が上がっていく
ISMS審査の費用は審査機関によっても違いがあります。
詳しいISMS審査費用は以下の表でご確認ください。

ISMS審査費用
※審査機関により料金の変動がある場合があります。

人数/年
初回(新規)
2年目(維持)
3年目(維持)4年目(更新)
1~10
590,000
270,000
270,000435,000
11~15
750,000
310,000
310,000540,500
16~25
822,000
370,000
370,000
585,000
26~45
1,030,000
440,500
440,500700,000
46~65
1,190,000
540,000
540,000780,000
66~85
1,380,500
590,000
590,000
910,000
86~99
1,440,000
630,000
630,0001,000,000
100~125
1,613,500
700,000
700,0001,140,000

さらに詳細な審査費用、取得にかかる費用の概算が知りたい…
そんな方は是非お気軽にお問合せください。

 

5.取得されている業界・市場の違い

取得企業数、取得されている業界・市場や取引要件としての違いについて説明いたします。

プライバシーマーク(Pマーク)取得企業数は、全国で16,577社(2021年3月時点)です。個人情報を取り扱うBtoCのサービス企業の取得が多く、人材派遣業、印刷業、士業、 ITシステム業と取得企業が続きます。

取引先からの取得要求で取得を目指す企業が多いです。
また、公官庁の入札案件参加条件としてプライバシーマークが必要な場合もあります。
プライバシーマークの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。

 

ISMS(ISO27001)の取得企業数は、日本で7317社です。(2021年3月時点)情報セキュリティ対策が安全である証明として取得している企業が多く、BtoCのサービス企業や、ITシステム業が取得しています。
ISMSの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。

まだまだ疑問点がある…という方へ、
無料の解説資料を現在プレゼント中です!ぜひご活用ください。

ダウンロード資料プライバシーマークとISMSの違いを徹底解説ガイド
ダウンロード資料プライバシーマークとISMSの違いを徹底解説ガイド

 

6.結局どちらを取得した方が良いのか?

プライバシーマークとISMS(ISO27001)のどちらを取得した方がいいのかについては、
取引先からの要求や入札案件の入札条件として、どちらが求められているかで変わります。

プライバシーマークは、個人情報の取扱いにより特化した運用ルールを順守する必要があります。
そのため個人情報を多く扱うBtoCのサービス企業はプライバシーマークの取得を目指す企業が多いです。

ISMS(ISO27001)は、情報セキュリティ対策が取られているかの認証マークになるためシステム開発や運用を行うITシステム業の取得が多いです。
ただし、情報セキュリティ対策の中には個人情報の取扱いも含まれるので個人情報の取扱いが多いからプライバシーマークの取得にした方がいいとは一概には言えません。

規格の違いを理解した上で、顧客要求に従ってプライバシーマークかISMS(ISO27001)のどちらを取得するか決めるのが良いでしょう。

 

まとめ

プライバシーマークとISMS(ISO27001)は似たような情報セキュリティに関する認証に見えますが、違う点も多くあります。

単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS(ISO27001)」、「どうせやるなら個人情報も含むISMS(ISO27001)」と、簡単に決めるのではなく、なぜ情報セキュリティに関する認証が必要なのか、取得の動機を確認した上で将来の展望からどちらの規格の取得・運用が有効であるかを判断しましょう。

 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。