• Pマーク
  • ISO
  • ISMS

ISOコラム

  • ISO
  • ISOコラム
  • Pマーク(プライバシーマーク)とISO27001(ISMS)は統一できるのか?
月額4万円からのISO取得・更新代行サービス

Pマーク(プライバシーマーク)とISO27001(ISMS)は統一できるのか?

いつもご愛読ありがとうございます。ISO総合研究所コンサルタントの小嶋です。

今回は「Pマーク(プライバシーマーク)とISO27001(ISMS)と統一できるのか?」について、お伝えさせて頂きます。

Pマーク(プライバシーマーク)とISO27001(ISMS)の違いについてPマーク(プライバシーマーク)とは?
会社などの組織が個人情報を保護する体制を整え、個人情報の仕組みを構築・運用している組織に与えられる登録マークとなります。 

ISO27001(ISMS)とは?会社などの組織が情報(情報なので物理的なものでなくても良い)を管理し、機密性・完全性・可用性の観点からリスクを洗い出し、それに基づいた具体的な計画、実施・運用、見直しまで含めた、トータルなリスクマネジメント体系のことを指しています。

つまりPマーク(プライバシーマーク)は個人情報の保護に特化したものであり、ISO27001(ISMS)は情報の保護に関するものです。

Pマーク(プライバシーマーク)はJIPDC(一般財団法人日本情報経済社会推進協会)が運営しています。
また、2019年11月現在では16338社の企業が日本でPマーク(プライバシーマーク)を取得しています。
相対してISO27001(ISMS)ではISO=国際標準化機構、つまり国際機関(本部はスイス)が認証するISO27001(ISMS)は、国際的な規格認証となります。
Pマーク(プライバシーマーク)とISO27001(ISMS)では国内か国外かの使用範囲も異なってきます。

実は、PマークやISO27001(ISMS)は個人情報を保護と情報というセキュリティ対策の対象が違いますが、中心はセキュリティということで、必要な運用活動が非常に酷似していることが多くあります。
その説明を今回はさせて頂きます。

また、Pマーク(プライバシーマーク)も2017年度版に改訂され、ISO27001(ISMS)との考え方が近くなったので、今後はルールも統合することができそうです。
今回はその中でも統合できる規程や記録の一例をご紹介いたします。

1.情報セキュリティに関してのルール
ISO27001(ISMS)に関しては付属書Aという内容が安全管理について明記している内容となります。ここに関しては114項目ありますが、企業が自分の業務に該当する項目のみ選びルールを作成することが可能です。

逆にPマーク(プライバシーマーク)ではA3.4.3.2に該当する安全管理措置が安全管理に関してのルールがこれに該当する内容になります。Pマーク(プライバシーマーク)でのガイドラインには付属書C(A3.4.3.2の内容)に書かれています。
このISO27001(ISMS)とPマーク(プライバシーマーク)での安全管理措置の内容は両規格ともどういう事を安全対策としなければならないとはガイドラインに一例としては書かれていますが、具体的に事業者がこのようなことをしなければいけないとは書いてはいません。
従って、安全管理についてのルールは別にPマーク(プライバシーマーク)に関する個人情報への対策としての内容だけではなく、ISO27001(ISMS)に関する情報に対しての対策をルール化してくことができるという事になります。このような理由からPマーク(プライバシーマーク)とISO27001(ISMS)での安全管理措置に関するルールは同じ項目同じ内容であれば一緒に明記して表現することが可能です。

2.法令についての一覧表
Pマーク(プライバシーマーク)とISO27001(ISMS)では法規制について事業者で特定して参照できるようにしなさいと言われている要求事項が存在します。それぞれの規格の内容を見ていきましょう。
Pマーク(プライバシーマーク)では

A3.3.3 組織は,個人情報の取扱いに関する法令,国が定める指針その他の規範(以下,“法令等”という。)を特定し参照できる手順を確立し,かつ,維持しなければならない。
と明記されています。

そしてISO27001(ISMS)では以下のようになっています。

各情報システム及び組織について,全ての関連する法令,規制及び契約上の要求事項,並びにこれらの要求事項を満たすための組織の取組みを,明確に特定し,文書化し,また,最新に保たなければならない。

ISO27001(ISMS)の方が取り組みを明確にしなければならないとまで明記されていますがPマーク(プライバシーマーク)で言われている部分までカバーをすることができます。
従って一本化することができるという事です。

まとめこのようにPマーク(プライバシーマーク)及びISO27001(ISMS)の活動をそれぞれの規格等で求められる活動としてある程度見ることが可能であり、同時に運用することはそこまで大きな負担とならないのです。

このことをご理解されておらず、Pマーク(プライバシーマーク)とISO27011(ISMS)のそれぞれでご担当がいらっしゃるような企業・団体様もまれに見受けられます。
Pマーク(プライバシーマーク)とISO27001(ISMS)どちらかの認証取得で迷われた場合には、両規格認証も視野に入れて検討することも良いかもしれません。

以上、PマークとISO27001(ISMS)の違い、実状等をご理解いただき、今後の新規認証または運用等に活かして頂けたらと思います。

ISO総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

\ 便利なWEBお問い合わせフォームはこちら /

WEBお問い合わせ

  • ムダチェックリスト無料プレゼント
  • お役立ちツール無料プレゼント
関連記事

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ