どちらを取得すればOK?ISMS(ISO27001)とPマーク(JIS Q 15001)の違い | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

どちらを取得すればOK?ISMS(ISO27001)とPマーク(JIS Q 15001)の違い

2024.10.1

オプティマ・ソリューションズ編集部のアバター
オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得/更新のお手伝いをしています。担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

  • プライバシーマーク(Pマーク)ってなに?
  • ISMS(ISO27001)とどっちを取得すればいいのかわからない…
  • ISMSとISO27001は何が違うの?

という情報システム担当者も多いのではないかと思います。

この記事では、Pマーク、ISO27001、ISMSの、それぞれの特徴や違いを解説します。

「Pマーク、ISO27001、ISMSの違いについてよくわからない」という担当者の方は、ぜひこの記事を参考にして、それぞれの違いについて理解を深めて下さい。

Pマーク制度とは

Pマーク(プライバシーマーク)制度とは、JIPDEC(一般財団法人日本情報経済社会推進協会)が運営している制度で、事業者が個人情報を適切に取り扱っているかどうかを評価し、その証としてプライバシーマークの使用を認めるものです。(出典:JIPDEC「プライバシーマーク制度」)

1998年よりPマーク制度が始まりましたが、JIPDECのデータによると、2005年の「個人情報保護法」施行に伴い、Pマーク付与事業者数が大きく増加し、2021年度にはPマークを付与されている事業者が16,957件まで増えました(参考:JIPDEC一般財団法人日本情報経済社会推進協会「プライバシーマーク制度」ープライバシーマーク付与事業者数の推移」)。

Pマーク取得には、日本産業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」をベースにした審査基準を満たす「個人情報を適正に管理する仕組み(PMS:個人情報保護マネジメントシステム)」を運用している必要があります(参考:JIPDEC一般財団法人日本情報経済社会推進協会「プライバシーマーク制度」)。

Pマークを取得すると、個人情報をしっかり管理している企業であることをアピールできるため、信頼性の向上につながります。

ISMS認証とは

ISMS(情報セキュリティマネジメントシステム)とは、企業や組織が情報セキュリティを確保するために管理体制を整え、その運用を適切に行っているかどうかを評価し、認証する仕組みです。国際標準化機構(ISO)によって定められた「ISO/IEC 27001」という国際規格に基づいて運用されており、この基準を満たすことでISMS認証を取得できます。

ISMSは、企業が持つ重要な情報(顧客データ、ビジネスデータなど)をサイバー攻撃や社内の不正から守るための管理体制を強化することを目的としています。

ISMS認証を取得することで、取引先や顧客に対して、情報セキュリティに対する高い意識と信頼性を示すことができるため、企業の信用が向上し、新たな顧客獲得につながります。また、サイバー攻撃や情報漏洩などのリスクを軽減し、企業の社会的責任を果たす手段としても効果的です。

ISO27001とは

ISO27001は、ISO(International Organization for Standardization:国際標準化機構)により制定された、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の国際規格のことです。

つまり、ISO 27001はISMSを運用するための基準であり、ISMSはその基準に基づいて実施される管理システムです。ただし、ISMSのことをISO27001と呼ばれる場合があります。結局は同じものを意味する言葉と考えていただいて結構です。

ISOとは、スイスのジュネーブに本部を置く非政府機関のことで、さまざまな「モノ」や「システム」の国際規格を制定することで、「世界中で同じ品質、同じレベルのものを提供」できることを目指した機関です。(参考:JQA一般財団法人日本品質保証機構「ISOの基礎知識」ー「1.「ISO」とは」

ISO27001は、ISMSの確立・実施・維持・継続的な改善と、情報セキュリティのリスクアセスメント・リスク対応を要求していますが、対象となる情報は、個人情報のみならず、会社が保有する情報資産すべてに及びます。(参考:JQA一般財団法人日本品質保証機構1「概要|ISO/IEC27001(情報セキュリティ)」ー「規格の狙い」

ISO27001では、ISMSにおいて、以下の3点を維持していることを要求しています。

  • 機密性:情報が漏洩しないようにする
  • 完全性:改ざんや誤りがないようにする
  • 可用性:必要な時に必要な人が利用できるようにする

(出典:ISMS-AC 一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度の概要(パンフレット)」ーp.2 「ISMSとは」

取引先やお客様へ、上記3点を維持し適切にリスクを管理しているという信頼を与えることが、ISO27001の目的でもあります。

PマークとISMSの主な違い

「Pマーク」と「ISMS」の主な違いは下記の通りです。

 PマークISMS
運営元JIPDEC(一般財団法人日本情報経済社会推進協会)ISO(国際標準化機構)
対象となる情報個人情報組織が保有する全ての情報
取得単位会社全体事業所単位、部門単位の取得も可能
適用基準日本産業規格 JIS Q 15001国際標準規格 ISO/IEC27001
日本産業規格 JIS Q 27001
更新期間2年3年ごと及び毎年の維持審査

<参考>

上記のような違いがありますが、補足として「対象となる情報」「取得単位」「審査の頻度」についてそれぞれ解説します。

対象となる情報

PマークとISMSでは、保護対象となる情報が異なります。

Pマークは、会社が取り扱う「個人情報(従業員情報も含む)」を対象としています。

一方、ISMSは、「会社が保有する全ての情報」が対象となります。個人情報に加えて、財務情報や人事情報、営業情報や技術情報などの情報も対象となります。

取得単位

Pマークは、事業者単位(法人単位)での取得となります。

Pマークは、法人全体での取り組みが行われていることが審査されるため、「会社全体」で取得するものという位置づけです。

一方、ISMSは、事業所単位、部門単位で取得することも可能です。

特に100名以上の企業の場合、全社でプライバシーマーク取得するのはなかなか大変であるという考え方から、部署を限定してISMSを取得されるケースが増えています。

審査の頻度

Pマークは、新規取得後、2年ごとに更新審査を受ける必要があります。

一方、ISMSは、有効期限は3年間ではあるものの、毎年1回「維持審査」を受ける必要があります。

PマークとISMSは、どちらを取得するべきか

PマークとISMSは、どちらも自社で保有する情報を適正な運用方法で扱っていることを証明するものですが、どちらを取得するのが良いのでしょうか。

結論から言うと、個人情報保護の企業姿勢を対外的にアピールしたいのであれば、Pマークを取得するべきですし、情報セキュリティ管理の企業姿勢をアピールしたいのであれば、ISMS認証を取得するべきです。

また、取引先から、PマークあるいはISMSのどちらか、もしくは両方の取得を要求された場合は、まずは取引先の要求に応じた認証を取得するべきです。

まとめ

この記事では、「Pマーク」、「ISO27001」、「ISMS」の概要と、PマークとISMSの主な違いについて解説しました。

「Pマーク」については、個人情報に特化した認証であるため、個人情報保護の企業姿勢を対外的にアピールしたい場合や、社内で個人情報保護の機運を高めたい場合は取得しましょう。

「ISMS」については、個人情報の取り扱いがなくても、情報セキュリティ管理の企業姿勢をアピールしたい場合や、主なお客様が法人で他社との差別化に役立てたい場合は取得しましょう。

どちらも認証取得するためには、それぞれの審査基準を満たした、情報取り扱いにおける運用システムの構築が必要です。

それらのシステムを構築することにより、情報漏洩のリスクを軽減できるだけでなく、対外的な会社の信用を上げることにもつながります。

また、適正な情報管理ができる環境整備を行うことで、業務効率化につながる場合もあります。

オプティマソリューションズでは、Pマークの取得や、ISMS取得の取得をサポートしておりますが、単なる取得にとどまらず、ルールや考え方が通常業務に自然に溶け込むまでサポートいたします。

「Pマーク」も「ISMS」も、取得がゴールではなく、すべての従業者が理解・実践でき、PDCAサイクルなどを通じで、日ごろより維持改善を行うことが大切です。

弊社では、20年間で3,500件以上の豊富なコンサルティング実績があるため、多種多様な業務に合わせたマネジメントシステムの作成が可能です。

自社で運用するにあたって、認証基準を満たし、かつ無理なく継続できるマネジメントシステムを作成いたします。

これから「Pマーク」や「ISMS」の取得を検討されている担当者の方は、ぜひ、オプティマソリューションズまでご相談ください。