Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

Pマーク(プライバシーマーク)とISO27001(ISMS)は統一できるのか?

2019年12月11日

Pマーク(プライバシーマーク)とISO27001(ISMS)は統一できるのか?

今回は「Pマーク(プライバシーマーク)とISO27001(ISMS)と統一できるのか?」について、お伝えさせて頂きます。

Pマーク(プライバシーマーク)とISO27001(ISMS)の違いについてPマーク(プライバシーマーク)とは?
会社などの組織が個人情報を保護する体制を整え、個人情報の仕組みを構築・運用している組織に与えられる登録マークとなります。

ISO27001(ISMS)とは?会社などの組織が情報(情報なので物理的なものでなくても良い)を管理し、機密性・完全性・可用性の観点からリスクを洗い出し、それに基づいた具体的な計画、実施・運用、見直しまで含めた、トータルなリスクマネジメント体系のことを指しています。

つまりPマーク(プライバシーマーク)は個人情報の保護に特化したものであり、ISO27001(ISMS)は情報の保護に関するものです。

Pマーク(プライバシーマーク)はJIPDC(一般財団法人日本情報経済社会推進協会)が運営しています。
また、2019年11月現在では16338社の企業が日本でPマーク(プライバシーマーク)を取得しています。
相対してISO27001(ISMS)ではISO=国際標準化機構、つまり国際機関(本部はスイス)が認証するISO27001(ISMS)は、国際的な規格認証となります。
Pマーク(プライバシーマーク)とISO27001(ISMS)では国内か国外かの使用範囲も異なってきます。

実は、PマークやISO27001(ISMS)は個人情報を保護と情報というセキュリティ対策の対象が違いますが、中心はセキュリティということで、必要な運用活動が非常に酷似していることが多くあります。
その説明を今回はさせて頂きます。

また、Pマーク(プライバシーマーク)も2017年度版に改訂され、ISO27001(ISMS)との考え方が近くなったので、今後はルールも統合することができそうです。
今回はその中でも統合できる規程や記録の一例をご紹介いたします。

1.情報セキュリティに関してのルール
ISO27001(ISMS)に関しては付属書Aという内容が安全管理について明記している内容となります。ここに関しては114項目ありますが、企業が自分の業務に該当する項目のみ選びルールを作成することが可能です。

逆にPマーク(プライバシーマーク)ではA3.4.3.2に該当する安全管理措置が安全管理に関してのルールがこれに該当する内容になります。Pマーク(プライバシーマーク)でのガイドラインには付属書C(A3.4.3.2の内容)に書かれています。
このISO27001(ISMS)とPマーク(プライバシーマーク)での安全管理措置の内容は両規格ともどういう事を安全対策としなければならないとはガイドラインに一例としては書かれていますが、具体的に事業者がこのようなことをしなければいけないとは書いてはいません。
従って、安全管理についてのルールは別にPマーク(プライバシーマーク)に関する個人情報への対策としての内容だけではなく、ISO27001(ISMS)に関する情報に対しての対策をルール化してくことができるという事になります。このような理由からPマーク(プライバシーマーク)とISO27001(ISMS)での安全管理措置に関するルールは同じ項目同じ内容であれば一緒に明記して表現することが可能です。

2.法令についての一覧表
Pマーク(プライバシーマーク)とISO27001(ISMS)では法規制について事業者で特定して参照できるようにしなさいと言われている要求事項が存在します。それぞれの規格の内容を見ていきましょう。
Pマーク(プライバシーマーク)では

A3.3.3 組織は,個人情報の取扱いに関する法令,国が定める指針その他の規範(以下,“法令等”という。)を特定し参照できる手順を確立し,かつ,維持しなければならない。
と明記されています。

そしてISO27001(ISMS)では以下のようになっています。

各情報システム及び組織について,全ての関連する法令,規制及び契約上の要求事項,並びにこれらの要求事項を満たすための組織の取組みを,明確に特定し,文書化し,また,最新に保たなければならない。

ISO27001(ISMS)の方が取り組みを明確にしなければならないとまで明記されていますがPマーク(プライバシーマーク)で言われている部分までカバーをすることができます。
従って一本化することができるという事です。

まとめこのようにPマーク(プライバシーマーク)及びISO27001(ISMS)の活動をそれぞれの規格等で求められる活動としてある程度見ることが可能であり、同時に運用することはそこまで大きな負担とならないのです。

このことをご理解されておらず、Pマーク(プライバシーマーク)とISO27011(ISMS)のそれぞれでご担当がいらっしゃるような企業・団体様もまれに見受けられます。
Pマーク(プライバシーマーク)とISO27001(ISMS)どちらかの認証取得で迷われた場合には、両規格認証も視野に入れて検討することも良いかもしれません。

以上、PマークとISO27001(ISMS)の違い、実状等をご理解いただき、今後の新規認証または運用等に活かして頂けたらと思います。

Pマーク認証パートナーは、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。