「Pマーク(プライバシーマーク)を取得するためにどのようなセキュリティ対策が必要なのか?」
「PマークとISMSは具体的にどう違っていて、自社に必要なのはどちらの資格なのか?」
上記のような悩みをお持ちの個人情報保護のご担当者様もおられるのではないでしょうか。
本記事では、Pマーク取得に必要なセキュリティ対策について解説するだけでなく、ISMSとは何か、Pマークとどう違うのか、PマークとISMSのどちらを取得すべきかについても解説します。
また、Pマークとは何か、取得のメリット、取得までにかかる費用と期間についても解説しています。
貴社でのセキュリティ対策の実施、PマークとISMSのどちらを取得すべきかの比較検討のための参考情報としてお役立てください。
目次
Pマーク(プライバシーマーク)とは
Pマーク(プライバシーマーク)制度とは、日本産業規格である「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」に準拠し、個人情報について適切な取扱いを講じている事業者を認定する制度です。
つまり、個人情報保護マネジメントシステムを確立し、運用していることが第三者により確認された企業団体だけがプライバシーマークを使用してよいことになっています。
インターネットや情報処理技術の発展により、個人情報がインターネット上でやり取りされることが非常に多くなっています。個人情報保護の必要性が高まったことを受け、Pマーク制度が導入されることとなりました。
Pマーク制度の認定機関である「一般財団法人 日本情報経済社会推進協会(以降、JIPDEC )」によると、2023年度にPマークの認定を受けた事業者の数は17,681社に上っています。
出典:付与事業者数の詳細
上記の表の通り、1998年4月1日にPマーク制度の運用が開始されて以降、Pマーク認定を取得する事業者の数は右肩上がりに増えています。
Pマーク取得のメリット
Pマークを取得する事業者が増え続けている理由は次のメリットがあるからです。
- Pマークを取得していることが取引条件や入札の評価項目になっているから
- Pマークを取得していることで顧客と消費者からの信頼性が向上するから
Pマークは企業活動を推進していく上での前提条件と言っても過言ではない存在になりつつあります。
Pマークの取得方法と取得に必要な費用・期間
次に、Pマークの取得について見ていきましょう。
Pマーク取得の申請資格がある事業者は次の通りです。
- 国内に活動拠点がある事業者
- 日本の法律に基づく事業所としての登記がある外資系企業
Pマーク取得のステップは次になります。
- 自社における「PMS(個人情報保護マネジメントシステムの略称)」を確立するために、個人情報保護についてのルールを決め、マニュアルを作成する
- 「PCDAサイクル」と呼ばれる、PMSの計画(Plan)、実施(Do)、点検と評価(Check)、改善(Act)を最低でも1サイクル行い、運用記録を作成する
- 審査機関に対してPマーク適格性審査の申請をする
- 文書審査を受ける
- 現地審査を行う
- 審査結果の通知を受け取る
また、Pマークを取得する際に発生する費用は次の通りです。
| 名称 | 費用の目安 | |
| セキュリティ対策費用 | 通常のオフィスであれば、下記の基本的な対策にかかる費用のみ ・キャビネットと机の引き出しのカギを揃える・机上に放置されるノートパソコンにワイヤーロックを施す・Webサイトのお問い合せフォームをSSLで暗号化する | |
| コンサルティング費用 | 小規模事業者: 80万円程中規模事業者:100万円程 ※上記金額は、選択の幅を広く持ってご申請されたい 場合の目安金額です。 申請のやり方や、事業者様の個別の事情などにより 弊社のコンサルティング費用は変わります。 | |
| 審査費用 | 小規模事業者:約31万円中規模事業者:約63万円大規模事業者:約126万円 | |
Pマークの取得には早ければ6ヶ月、場合によって1年かかることもあります。
しかし、弊社は独自のノウハウと、全ての作業を素早く行うことにより、「お客様の8割が6ヶ月以内でPマークを取得」するという実績を残しています。
弊社のコンサルティングに対してご協力を頂ければ、6ヶ月のPマーク取得をかなり現実的な目標にすることが可能です。
Pマーク取得に必要なセキュリティ対策
Pマークの取得に必要なセキュリティ対策は次の2つです。
- 物理的な対策
- システム上の対策
それぞれについて解説をします。
1. Pマーク取得に必要な物理的セキュリティ対策
物理的なセキュリティ対策には下記があります。
- 入退室管理と来客管理のためのルールを作る
- 盗難防止対策を実施する
- 個人情報持ち出し時の管理方法を決める
- 個人情報の削除及び機器、電子媒体等の廃棄ルールを作る
(出典:個人情報保護委員会「個人情報保護ガイドライン(通則編)」HTML版ー「10-5 物理的安全管理措置」)
それぞれ具体的な対策例を紹介します。
入退室管理と来客管理のためのルール
・個人情報を取り扱っている区域に入退室する際のICカードキーやナンバーキーを用いた「入退室管理システム」の導入
・座席配置の変更、パーテーションなどを利用して、個人情報を取り扱っているパソコン画面を関係者以外のものに見られないようにする
盗難防止対策
・パソコンや、サーバーなどは、セキュリティワイヤーなどを用いて盗難防止対策を行う
・USBメモリ、ハードディスク、CD-ROMなどの電子記録媒体や、書類などの紙媒体は、必ず施錠ができる書庫やキャビネットに保管する
個人情報持ち出し時の管理方法
・USBメモリなどでデータを持ち運ぶ場合は、該当データを暗号化し、パスワードによる保護を行った上で保存する
・紙媒体の持ち運びは、封緘、目隠しシールの貼付などを行ったり、施錠できる搬送容器を利用する
個人情報の削除及び機器、電子媒体等の廃棄ルールを作る
・個人情報が記載された書類については、焼却かシュレッダーで廃棄する
・パソコンやサーバーなどに保存された個人情報を廃棄するときは、専用のデータ削除ソフトウェアを利用する
上記以外にも、災害時のリスクに備えるためにUPS(無停電電源装置)や、耐震ストッパーを使用するとよいでしょう。
2. Pマーク取得に必要なシステム上のセキュリティ対策
Pマークを取得するためには、次のシステム上の対策が必要です。
- Webサイトのセキュリティを強化する
Webサイトのセキュリティ対策のために、不正アクセスを防止するファイアウォールを導入しましょう。また、通信データーを改ざん・盗聴・なりしましから守るためのSSL化(データの暗号化)を行うことも重要です。
- Webサイトに個人情報保護方針を明記する
Webサイトに個人情報保護方針を明記し、個人情報を収集する際には同意してもらうことが必要です。
- セキュリティソフトを導入する
Pマーク認証の審査時に、審査員からWebアプリケーションの脆弱性についての確認が必ずあります。
Webアプリケーションとは、Webサイト上で動作するプログラムのことです。最近のWebサイトではIDとパスワードを入力して認証することが多いですが、こういった処理にWebアプリケーションが使用されています。
近年、Webサーバーを狙われて個人情報が流出する事件が相次いでいますが、これらの多くはWebアプリケーションの脆弱性(弱点)を悪用されたものと言われています。
弊社では、PマークやISMS認証を取得されたい事業者様を対象にした「Webアプリケーション診断サービス」をご提供しています。
また、弊社では、PマークやISMS認証を取得されている企業を対象に、審査の際に必ずチェックされる「Webアプリケーション診断サービス」の提供も実施しています。
弊社が提供する「Webアプリケーション診断サービス」は、自社のWebサイト上におけるWebアプリケーションを外部からチェックし、放置された脆弱性がないことを確認するサービスです。
本サービスを利用することによりPマークやISMS認証の審査を受ける際に、「はい。専門家による診断を受けています」と自信を持って答えて頂けるようになります。
Webアプリケーションに対する脆弱性は新たに日々発見されていきます。弊社では、一度だけの診断ではなく、定期的にセキュリティ診断を受けていただける継続プランをご提案しております。
ご興味のある事業者様はぜひご相談下さい。
PマークとISMSの違い
PマークとISMSとの違いについてよくご質問を頂くことがあります。両者の違いについて詳しく見ていきましょう。
ISMSとは
まず、ISMSとは情報セキュリティマネジメントシステム(Information Security Management System)のことです。
ISMS認証とは、情報セキュリティの規格である「ISO27001」に基づいた情報セキュリティ体制を内部で構築し、適切に取り扱っている事業者に対して、JIPDECが認定し、ISMSマークの使用を許諾する制度です。
正式名称は、「ISMS適合性評価制度」と言います。規格名称を用いて「ISO27001」と呼ばれる場合も多いです。「ISMS認証」と「ISO27001」は同じ制度を指しています。
PマークとISMSとの違いは下記表をご参照下さい。
| Pマーク | ISMS | |
| 適用規格 | JISQ15001:2017 | ISO/IEC27001:2013JISQ27001:2014 |
| 保護対象となる情報 | 事業者が保有するすべての個人情報 | 規格が適用される範囲内の情報資産全般 |
| 認定対象 | 事業者全体 | 事業所、事業、部門ごとの認定取得も可能 |
| 要求事項 | 個人情報が適切に取り扱われていること | 情報の機密性・完全性・可用性が維持されていること |
| 更新 | 2年ごと | 3年ごと※継続審査が毎年ある |
| セキュリティ対策 | 適切な安全対策を行う | ISO27001規格 附属書Aに定める114項目の管理策から選択、実施する |
各項目について詳しく見ていきましょう。
適用規格の違いについて
Pマークは国内規格である日本産業規格(JISQ)にのみ準拠しています。
一方で、ISMSは、日本産業規格だけでなく、国際標準規格(ISO)にも準拠しています。
保護対象となる情報の違いについて
Pマークは個人情報の保護のみを目的とする認定です。
一方で、ISMSは企業の情報資産全体を保護対象とする認定です。個人情報も保護対象の中に含まれています。
認定対象の違いについて
Pマークは事業者全体を認定対象としています。
ISMSの場合は、事業単位、部門単位で個別に認定を取得することも可能です。
要求事項の違いについて
Pマークでは、事業者が適切に個人情報の取り扱いやを文書作成を行うための手順が規格によって定められています。手順が規格に適合していなければ、Pマーク認定は取得できません。
しかし、ISMSの場合は手順についての規格による規定はありません。規定がないことにより、自社に合った手順の策定が可能です。
ISMSにおいて事業者に求められることは、次に述べる3つの情報の取り扱いついての要求事項に適合するための仕組みと体制があることです。
- 機密性:権限を持つ者以外は重要な情報の閲覧や処理ができないようにしてあること
- 完全性:情報に改ざんや消失が発生しないようにしてあること
- 可用性:必要な時にいつでも情報を使用することができるようにしてあること
更新の違いについて
Pマークは2年ごと、ISMSは3年ごとに更新することが必要です。
ただし、ISMSには3年ごとの「更新審査」だけでなく、3年間の認定期間に毎年行われる「維持審査」があります。
更新審査では認証範囲全体が審査対象となる一方で、維持審査では審査機関が指定する項目についての重点的な確認が行われます。
セキュリティ対策の違いについて
Pマークでは、事業者の実態に合った内容で個人情報保護のためのセキュリティ対策を立てることが可能です。しかし、セキュリティ対策を実施する際の手順は規格によって定められています。
一方で、ISMSは規格により定められた114の管理策から、自社の事業規模、情報資産の保有量、セキュリティ対策のコストと効果などを総合的に判断した上で実施手順について決めることができます。
例えば、Pマークであれば、個人情報を取得するためには、規格で定められている通りに、個人情報の利用目的を明記した同意書を得ることが必要です。
しかし、ISMSの場合はより柔軟に個人情報を取得する際の手順について決めることができます。
つまり、Pマークでは規格通りの手順の実行が必要となる一方で、ISMSは事業者の実態に合った運用ができるということです。
PマークとISMSのどちらを取得した方がよいか
PマークとISMSの特徴と違いを理解した上で、自社に必要な認定がどちらかを見極めることが重要です。
国内でのみ事業活動を行なっていて、なおかつ、個人情報の保護のみが目的であればPマークを取得します。
個人情報も含めた全ての情報資産のマネジメントシステムの構築が必要で、なおかつ、国際規格の認定を受けたい場合は、ISMSの取得が必要です。
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
