プライバシーマークとISMS(ISO27001)の違い

情報セキュリティの認証取得を検討する際にプライバシーマークとISMS(ISO27001)のどちらを取得するか悩まれる方が多くいらっしゃいます。

確かに一見するとプライバシーマークもISMS(ISO27001)も同じような情報セキュリティに関する認証のように思えますが、実は考え方や目的・準拠している規格・適用範囲等が違うためまったく別物です。

そのためまずはプライバシーマークもISMS(ISO27001)の違いを正しく認識し、自社の目的にあった方を取得することをおすすめ致します。

本記事では、プライバシーマークもISMS(ISO27001)の具体的な違いについてご説明致します。
どちらを取得するか、ご検討の際にお役立てください。

プライバシーマーク・ISMS(ISO27001)比較表

プライバシーマーク ISMS(ISO27001)
① 規格の違い 日本工業規格 JISQ15001 国際標準規格 ISO/IEC27001
日本工業規格 JISQ27001
② 適用範囲の違い 企業内のすべての個人情報
企業全体
適用範囲内の全ての情報資産全般
事業所単位、部門単位、事業単位の取得も可
③ 要求事項の違い 適切な個人情報の取り扱い 情報の機密性・完全性・可用性の維持
④ 更新 2年ごと 3年ごと、及び毎年の継続審査

タップして拡大表示

プライバシーマーク・ISMS(ISO27001)比較表

① 規格の違い

プライバシーマークとISMS(ISO27001)では、対象となる規格が異なります。

プライバシーマークはJISQ15001のみが対象になっており、これは日本の規格ですから、プライバシーマークは日本国内でしか適用されません。

ISMS(ISO27001)は国際標準規格ISO27001が対象になっており、これを翻訳したものが日本工業規格JISQ27001となります。

② 適用範囲の違い

続いて適用範囲(取得可能範囲)の違いについてご説明致します。
端的に申し上げると、特定の限定した範囲で認証を取得することができるか否かが基準となります。

例えば、システム開発企業でシステム開発部・経理部がそれぞれ社員の情報等を保有している場合で比較してみましょう。

プライバシーマーク

適用範囲は企業全体となるため、情報を保有しないシステム開発部も対象範囲となります。

ISMS(ISO27001)

適用範囲をシステム開発部、経理部の2部署のみに限定して、ISMSを取得することが可能です。
(一度審査機関にご相談されることをおすすめ致します。)

② 適用範囲の違い

プライバシーマーク

プライバシーマークは保有する個人情報を保護することを要求しています。
そのため、手順や作成する文書などが規格(JISQ15001)で定められており、枠組みから外れた場合は認証取得することができません。

ISMS(ISO27001)

ISMS(ISO27001)は、情報資産を保護するための「仕組み」や「体制」づくりを要求しています。
そのため決まった手順はなく、企業ごとに自社の体制に合わせたルールや文書を作成することができます。

まとめ

いかがでしたでしょうか。

このようにプライバシーマークとISMS(ISO27001)は同じような情報セキュリティに関する認証に見えて、全く別物です。

単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS(ISO27001)」、「どうせやるなら個人情報も含むISMS(ISO27001)」と、簡単に決定するのはお勧めできません。

まずはなぜ情報セキュリティに関する認証が必要なのか、取得の動機を確認た上で将来の展望からどちらの規格の取得・運用が有効であるかを判断しましょう。

どちらを取得すればいいか分からない方へ
Pマーク総研が無料でご相談をお受けいたします。
まずはお気軽にお問い合わせください!
らくらく1分お問い合わせフォーム
  • お客様の声
  • 無料プレゼント
SNSでシェア

プライバシーマーク基礎知識一覧