Pマーク(プライバシーマーク)とISMS(ISO27001)を一緒に進める3つのポイント


 

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの田牧です。

 今回は「PマークとISMSを一緒に進める3つのポイント」について、お伝えさせて頂きます。

 

1.PマークとISO27001(ISMS)の違いについて

Pマーク(プライバシーマーク)とは?

企業などの組織が個人情報を保護する体制を整備し、定められた通り実行、定期的な確認、継続的に改善するための管理の仕組みを構築・運用している組織に付与するもの。

 

 

ISO27001(ISMS)とは?

企業などの組織が各種情報資産(個人情報含む)を適切に管理し、機密を守るための包括的な枠組み。コンピュータシステムのセキュリティ対策だけでなく、

情報を扱う際の基本的な方針や、それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指す。

 

 

つまりPマークは個人情報の保護(セキュリティ)に特化したものであり、ISMSは各種情報資産の保護(セキュリティ)に関するものです。「情報セキュリティ」が共通するため、よく比較されているのです。

 

 

 それでは、「Pマーク」に対する印象はいかがでしょうか?

 Pマークは日本全国約14,000組織が認定されております。また、認証団体が、一般財団法人日本情報経済社会推進協会 (JIPDEC)、

つまり日本の組織が日本の企業・団体を認証する、日本における規格であり、非常になじみのあるものとなっているようです。

 

 

「ISO27001(ISMS)」に対する印象はいかがでしょうか?

ISO=国際標準化機構、つまり国際機関(本部はスイス)が認証するISO27001(ISMS)は、国際的な規格認証となります。

私の規格認証をお手伝いする企業・団体様からは「ISO27001(ISMS)は国際規格であることが、取得困難なイメージがある」とのご意見をよくお伺いします。

 

 

 以上のことより、

 Pマーク:①個人情報の保護に特化した規格認証である。

②日本国内における日本企業・団体等の組織への規格認証である。

 ISO27001(ISMS):①情報資産(個人情報含む)の保護に関する規格認証である。

②国際的な規格認証であり、一般的に取得に困難なイメージがある。

 

2.PマークとISO27001(ISMS)の認証までの期間・費用などその実態について

 弊社が規格認証でお手伝いをするお客様から寄せられる最も多い疑問・質問についてまとめました。

 

 

1)申請後からの認証までの期間

  審査を受けるためには、両規格共に運用実態が必要になります。運用期間については企業・団体に応じ違いがあるので、申請後からの認証までの期間を比較すると、大きな違いが出てきます。

 

 

  Pマークは最短で3ヶ月~12ヶ月程度ISO27001(ISMS)は3ヶ月~4ヶ月程度で取得ができます。この違いは審査方法にあります。

PマークはJIS規格に基づいた審査であることに加え、その審査員の規格解釈・意向が大きく反映される審査内容・方法となっています。

審査員の規格解釈・意向を反映するために多くの時間を費やさなくてはならず、認証まで長時間を要し、認証時期が不明瞭なのです。

 

 

  ISO27001(ISMS)は、ISO及びJIS規格に基づいた審査であり、必要な対処・対応が明確となっています。また、審査において不適合等が発生したとしてもその対応期間も明確にされるため、現地審査日が決定されれば、大凡の認証時期を明確にすることができます。さらに、お客様のご要望する認証時期に応じ、ある一定の対応が可能な場合も多々あります。

 

 

 2)認証範囲(対象)

 Pマークは、認証を希望する、その企業・団体ごとで審査等を実施します。つまり対象が全従業員となるため、各種運用を全従業員に対して実施することが求められます。

 

ISO27001(ISMS)は、認証範囲は認証を希望する、その企業・団体ごとで設定することができます。全拠点、支店単位、部署単位など必用性、費用対効果など、様々な観点から認証範囲を決定することとなります。

 

3)審査、取得費用

  Pマークの有効期間は2年間です。2年に一度の現地審査を受ける必要があります。また審査費用は、従業員数、資本金、主たる業務内容により費用が異なりますが、JIPDECのHP(http://privacymark.jp/application/cost/index.html)で概ね確認することができます。また、審査機関により入会金・年会費等を要する場合があります。

 
 

 

 ISO27002(ISMS)の有効期間は3年間ですが、毎年維持審査(サーベイランス)が必要となります。

審査費用は、認証範囲の従業員数、拠点数、業務内容等により変動があります。また、審査機関により費用に変動がありますので、複数の審査機関より御見積を取得することをおススメします。

 

  4)その他

  お客様の最もご心配なのが現地審査についてです。Pマークは自社の従業者以外の者が審査に立ち会うことは規約に違反する行為であり、審査が打ち切られる可能性があります。これに対し、ISO27001(ISMS)はコンサルタントが事務局として運用をお手伝いしている場合は、事務局として立ち会うことが認められます。

 

3.PマークとISO27001(ISMS)は同時に運用について

 多くのお客様が、「PマークかISO27001(ISMS)のどちらかを認証取得したい」と悩まれることがあります。これまで述べてきたように、Pマークは個人情報のセキュリティに特化したものであり、ISO27001(ISMS)は個人情報を含めた情報資産のセキュリティに対するものです。これらの観点や取引先等からの要求で、どちらかの認証取得を決定されるお客様もいらっしゃいますが、さらに、両規格とも認証取得されるお客様も数多くいらっしゃいます。

 

 

実は、PマークやISO27001(ISMS)はセキュリティの対象が若干違いますが、中心はセキュリティということで、必要な運用活動が非常に酷似していることが多くあります。

 

 

 例えば、「法令の特定」「個人情報の特定」「リスク分析」「委託先評価」「教育」などはその最たるものです。これらの活動をそれぞれの規格等で求められる活動としてある一定度見ることが可能であり、同時に運用することはそこまで大きな負担とならないのです。

このことをご理解されておらず、PマークとISO27011(ISMS)のそれぞれでご担当がいらっしゃるような企業・団体様もまれに見受けられます。

 

 

 PマークとISO27001(ISMS)どちらかの認証取得で迷われた場合には、両規格認証も視野に入れて検討することも良いかもしれません。

 

 

以上、PマークとISO27001(ISMS)の違い、実状等をご理解いただき、今後の新規認証または運用等に活かして頂けたらと思います。


メールアドレス