プライバシーマーク(Pマーク)とISMSの違いを徹底比較!結局どっちが良いの?

プライバシーマーク(Pマーク)とISMSの比較

プライバシーマークとISMS(ISO27001)のどちらを取得すべきか比較して、悩まれる方がたくさんいらっしゃいます。
プライバシーマークもISMS(ISO27001)も同じような情報セキュリティに関する認証のように思えますが、比較してみると、考え方や目的・準拠している規格・適用範囲等が違う全くの別物です。
まずはプライバシーマークもISMS(ISO27001)の違いを正しく認識し、御社の目的に合っているのはどちらなのか考えていきましょう。

プライバシーマークとISMS(ISO27001)の違いを表にしてみました。それぞれの違いについて、詳しくみていきましょう。
プライバシーマークとISMSの比較表

1.規格の違い

まず、プライバシーマークとISMS(ISO27001)では、保護する対象が異なります。
プライバシーマーク(Pマーク)では個人情報、ISMS(ISO27001)では情報資産すべてが対象になります。
比較すると、ISMS(ISO27001)のほうが保護対象の範囲が広く、マネジメントシステムの構築に時間を要することが多いです。

また、あまり知られていませんが、プライバシーマーク(Pマーク)は日本だけの規格なので日本国内でしか通用しません。
ISMS(ISO27001)は国際標準規格ISO27001をもとに運用が行われますので、グローバルな認証と言えます。
世界基準での情報セキュリティを承認されるわけですから、国際的なやりとりを必要とする企業はISMS(ISO27001)を取得されるケースが多いです。

つぎに、認証の範囲を比較してみましょう。
プライバシーマーク(Pマーク)は企業ごとの取得しか認められていませんので、必ず会社全体(全部署・全従業員)を認証範囲とします。
一方、ISMS(ISO27001)は「〇〇部だけで認証取得」「〇〇工場だけで認証取得」など認証範囲を設定することができます。

2.審査の違い

プライバシーマーク(Pマーク)は企業内のすべての個人情報の取扱いが審査の対象となります。

保有する個人情報を保護することを要求していますので、
手順や作成する文書などが規格(JISQ15001)で定められています。
枠組みから外れた場合は認証取得することができません。

また、取得後は、維持しようとなると2年ごとに更新審査を受けることが必要となります。

審査の費用は小規模、中規模、大規模で価格が変わります。
また、新規取得時と更新時でも違いがあります。

単位:円(消費税10%込)

一方、ISMS(ISO27001)は、情報資産を保護するための「仕組み」や「体制」づくりを要求しています。
決まった手順はなく、企業内の情報資産に対して114項目の審査ポイントを元に
自社の体制に合わせたルールや文書を作成することができます。

認定の期間は3年間ですが、更新までの期間にも1年に1度維持審査があります。
そのため、毎年審査を受けることになります。

ISMS審査の費用は審査機関によって違いがあります。
対象人数や拠点数により段階的に価格が上がっていきます。

※審査機関により料金の変動がある場合があります。

3.取得されている業界・市場の違い

取得企業数、取得されている業界・市場や取引要件としての違いについて説明いたします。

プライバシーマーク(Pマーク)取得企業数は、全国で16,577社(2021年3月時点)です。

個人情報を取り扱うBtoCのサービス企業の取得が多く、人材派遣業、印刷業、士業、
ITシステム業と取得企業が続きます。
取引先からの取得要求で取得を目指す企業が多いです。
また、公官庁の入札案件参加条件としてプライバシーマークが必要な場合もあります。
プライバシーマークの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。

ISMS(ISO27001)の取得企業数は、日本で7317社です。(2021年3月時点)
情報セキュリティ対策が安全である証明として取得している企業が多く、BtoCのサービス企業や、ITシステム業が取得しています。
ISMSの取得の流れに関して詳しく知りたい方はこちらの記事をご覧ください。

4.結局どちらを取得した方が良いのか?

プライバシーマークとISMS(ISO27001)のどちらを取得した方がいいのかについては、
取引先からの要求や入札案件の入札条件として、どちらが求められているかで変わります。

プライバシーマークは、個人情報の取扱いにより特化した運用ルールを順守する必要があります。
そのため個人情報を多く扱うBtoCのサービス企業はプライバシーマークの取得を目指す企業が多いです。

ISMS(ISO27001)は、情報セキュリティ対策が取られているかの認証マークになるためシステム開発や運用を行うITシステム業の取得が多いです。
ただし、情報セキュリティ対策の中には個人情報の取扱いも含まれるので個人情報の取扱いが多いからプライバシーマークの取得にした方がいいとは一概には言えません。

規格の違いを理解した上で、顧客要求に従ってプライバシーマークかISMS(ISO27001)のどちらを取得するか決めるのが良いでしょう。

5.まとめ

プライバシーマークとISMS(ISO27001)は同じような情報セキュリティに関する認証に見えて、違いも多くあります。

単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS(ISO27001)」、「どうせやるなら個人情報も含むISMS(ISO27001)」と、簡単に決定するのはお勧めできません。

まずは、なぜ情報セキュリティに関する認証が必要なのか、取得の動機を確認した上で将来の展望からどちらの規格の取得・運用が有効であるかを判断しましょう。

プライバシーマークの取得・運用にお悩みの方へ
Pマーク総研が無料でご相談をお受けいたします。
まずはお気軽にお問い合わせください!
らくらく1分お問い合わせフォーム

  • 無料プレゼント無料プレゼント

カテゴリー: