取得するならどっち?Pマーク(プライバシーマーク)とISMS(ISO27001)はここがちがう!


いつもご愛読ありがとうございます。

ISO総合研究所コンサルタントの茶谷です。

 

本日は「プライバシーマーク(Pマーク)とISO27001(ISMS)の違い」を改めてご案内致します。

弊社のプライバシーマーク(Pマーク)運用代行のお客様であれば一度はコンサルタントからISMSのご案内があるかと思います。

口頭ではなかなか分りづらい点もあるかと思います。

それぞれどのような特徴があるのでしょうか。プライバシーマーク(Pマーク)とISO27001(ISMS)の違いを以下にまとめました。

 [プライバシーマーク(Pマーク)とISO27001(ISMS)の違い]

プライバシーマーク

(Pマーク)

ISO27001(ISMS)
①適用規格 日本工業規格 JISQ15001:2006 国際標準規格 ISO/IEC27001:2013

日本工業規格 JISQ27001:2014

②対象範囲 企業すべて 事業・事業所・部門単位
③保護対象 取扱うすべての個人情報 適用範囲内で取扱うすべての情報

(個人情報も含む)

④運用 2年ごとの更新

(審査は2年に1度)

3年ごとの更新

(1年毎の継続審査)

⑤要求 情報の機密性・完全性・可用性の維持

(自社に合った運用)

適切な個人情報の取り扱い

(決められた運用)

 

①日本工業規格をご存じでしょうか。実はあまり知られていませんが、プライバシーマーク(Pマーク)は日本だけの規格なのです。

一方ISO27001(ISMS)は国際標準規格 ISO/IEC27001:2013 と 日本工業規格 JISQ27001:2014をもとに運用が行われますのでグローバルなマークと言えます。

世界基準での情報セキュリティを承認されるわけですから、国際的なやりとりを必要とする企業はISO27001(ISMS)を取得します。

 

②プライバシーマーク(Pマーク)の対象範囲は企業全てです。当然従業者というと勤務地に限らずパート・アルバイトを含む全ての従業員の人数になります。

法人単位での取得と考えるのが妥当です。対してISO27001(ISMS)は適用範囲を選べます。

「この事務所のこの部門だけ」と自由に限定することができます。ただし、適用する対象のみがマークの対象範囲になりますから、

1部門が取得したISO27001(ISMS)を他部門で利用することはできません。

 

③プライバシーマーク(Pマーク)が保護する対象は企業が保持する全ての個人情報です。

ISO27001(ISMS)は個人情報を含むその対象部門が持つ情報が対象になります。どちらも情報を対象としていますがプライバシーマーク(Pマーク)は

より個人情報に特化したものであると考えるのが良いでしょう。

 

④プライバシーマーク(Pマーク)の運用は2年です。2年に1度更新審査を行います。ISO27001(ISMS)は毎年継続審査があり、マークの更新は3年に1度です。1年毎に審査があるのは大変そう、と思いがちですが毎年確認することで事業の変化に合わせた細やかな対応ができます。

 

⑤プライバシーマーク(Pマーク)とISO27001(ISMS)の違いが大きく出てくるのは要求です。プライバシーマーク(Pマーク)では130個以上の項目が

ありその項目に当てはまらない場合は不適合となります。厳しい基準だからこそのマークですが、項目がすでに決まっているために本来の業務の中に

無理やりプライバシーマーク(Pマーク)をあてはめるような形で運用されている企業が多いのが現状のようです。一方ISO27001(ISMS)は企業に合った

運用が可能であり、「自社の情報セキュリティ対策は◯○だ」と断言して運用ができるのです。

 

プライバシーマーク(Pマーク)とISO27001(ISMS)の違いは理解していただけましたでしょうか。社会では個人情報の保護=プライバシーマーク(Pマーク)というイメージが先行しているようですが是非それぞれの特徴を踏まえ、自社に合った、自社に必要なマークを取得し、運用を行っていただきたいです。

ISO27001(ISMS)についてもう少し補足をしておきましょう。ISO27001(ISMS)の取得件数は世界全体で23,972件です(The ISO Survey of Management System Standard

Certifications -2014 より抜粋)。そのうち7181件が日本。世界第一位の件数です。二位、三位はインド、中国と続き2000件ほどの運用がされています(ISO HP ISO Survey 2014より)。件数を見てもわかりますが圧倒的に日本の件数が多いですね。日本の情報セキュリティに対する意識が関係しているのでしょうか。取得企業も年々増えています。

(ISO HP ISO Survey 2014より)

プライバシーマーク(Pマーク)の取得企業は14,256件(平成27年10月10日現在JIPDEC HPより)であり、

件数はISO27001(ISMS)の2倍ほど違います。しかし件数は年々増加傾向にあるので、敷居が高いと思われやすいISOも周囲の

企業がみんな持っていて気軽に取得ができるような時代が来るかもしれません。
実際にマーク新規取得までの期間はISO27001(ISMS)の方が短く、プライバシーマーク(Pマーク)は早くて6ヵ月と言われていますがISO27001(ISMS)は

6ヵ月内では必ず取得ができます。弊社コンサルタントもプライバシーマーク(Pマーク)の顧客要求が無ければISO27001(ISMS)の取得をお勧めしております。

自社に合った運用ができるISO27001(ISMS)の方が圧倒的に担当者にかかる負担が減らせるからです。

 

以上簡単ではございましたが「プライバシーマーク(Pマーク)とISO27001(ISMS)の違い」について理解していただけましたでしょうか。

プライバシーマーク(Pマーク)、ISO27001(ISMS)に関してお困りごとやご相談がありましたらお気軽に弊社コンサルタントまでご相談ください。

御社に合った運用をご案内致します。

 

参考:・JIPDEC HP プライバシーマーク制度 http://privacymark.jp/

・ISO (International Organization for Standardization) HP

http://www.iso.org/iso/home.htm

   ・The ISO Survey of Management System Standard Certifications – 2014 Executive summary


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス