ISO27001とPマークは何が違う?

投稿日:

ISOプロ担当者

最終更新日: 2019年10月29日

情報化社会への進展、情報のデジタル化に伴い、個人情報が適切に管理されることが重要になっています。多くの企業/組織では、顧客情報や個人情報含む人事情報など保有し、情報の漏洩対策は大きな課題で、ISMS/ISO27001認証やプライベートマーク(Pマーク)認定への取り組みを検討されている企業も多いことでしょう。
今回のテーマでは、ISO/IEC27001とPマークの違いについて確認します。

1.ISO/IEC27001では

 ISO/IEC27001では、企業/組織が決定した適用範囲において、個人情報含む情報資産に対する適切な情報セキュリティ対策が、ISO/IEC27001の要求事項「機密性・完全性・可用性」(3原則)に適合し、ISMSの運用維持、継続的に改善されていることが重要です。

2.Pマークへの適合

 「Pマーク」とはプライバシーマークのことで、一般財団法人日本情報経済社会推進協会(JIPDEC)によって運営されおり、プライバシーマークを付与されるには、「JIS Q
15001」個人情報保護マネジメントシステムの規格に適合する必要があります。また、JIS Q
15001は国内規格で、個人情報の収集から利用・保管・廃棄まで詳細に規定しており、個人情報を取り扱うときの仕組みや手続き、運用体制の評価基準などの要求にも適合した事業者にプライバシーマークが付与されます。

3. ISO27001とPマークの違いについて

ISO/IEC27001とPマークは、PDCAサイクルを採用したマネジメントシステム ですが、下記図1に示すように適用基準や要求が異なり、2つの制度の仕組みは全く異なります。

ISO/IEC27001とPマークは、共に組織内の情報を保護するための仕組みですが、適用規格や保護される情報の対象範囲、規格の要求事項、更新期間などが異なります。図1異なる適用基準にまとめました。

図1 異なる適用基準

Pマーク ISO/IEC27001
適用基準 日本工業規格 JISQ15001:2006 国際標準規格 ISO/IEC27001:2013
日本工業規格 JISQ27001:2014
要求 適切な個人情報の取り扱い 情報の機密性・完全性・可用性の維持
更新期間 2年更新 3年毎及び毎年の継続審査
審査機関 指定審査機関 外部審査機関(任意)
特長 B to C:大企業(システム部門内包) B to B:組織規模・業種問わず

1)導入目的

①ISMS (*1):

 企業/組織は、「機密性・完全性・可用性」をバランスよく維持・改善し、リスクを適正にマネジメントし適切な情報資産の管理体制を整備すること、および情報流出やサイバー攻撃など情報セキュリティ対策の一環としてISMSを導入します。
*1 弊社サイト[ISOシリーズ]のコラム「ISMSについて」でISMSについて掲載しています。こちらも合わせてご覧ください。

②Pマーク:

 インターネットの発展やITの普及より、個人情報の適切な管理および個人の権利や利益の保護は、企業/組織において社会的責任であり、重要課題の1つになっています。一般的に、Pマークの取得は、自社を外部にアピールする、顧客や取引先との信頼関係をより向上させるためにPマークを取得するケースが多いです。

 また、Pマーク制度の目的についても以下に示しましたが、より消費者目線であることがわかります。

【Pマーク制度の目的】
  • 消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
  • 適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること

2)守るべきもの

  • ISMS : 適用範囲内の全ての情報資産。
  • Pマーク: 全社が適用範囲となり、個人情報のみ。但し、情報を保有しない部門/部署も対象となる。

3)文書/記録

  • ISMS:  ISO/IEC27001の要求事項に従い、組織のリスクアセスメントに基づいてISMS文書を作成します。
  • Pマーク:ISMS同様にPDCAサイクルを実施し、継続的に改善、改善記録の作成。

以下、必要に応じて、各種作成記録-例に記録を作成します。

【各種作成記録-例】

a.個人情報(個人情報管理台帳)の記録
会社が取得した個人情報について洗い出し、個人情報の保護が適用されるか否か、確認します。個人情報保護データに該当する場合は個人情報管理台帳に登録します。
b.苦情および相談への対応記録
個人情報の登録や取り扱いなどについて、顧客や取引先から意見や苦情が寄せられた場合は迅速に対応するとともに、すべての対応記録を残します。
c.運用の確認記録
全社各部門/部署において、日常業務の中でPマークの運用が適正に実施されているか確認し、記録を作成します。
d. 個人情報のリスクの認識、分析および対策に関する記録
個人情報に対するリスクアセスメントを実施し、リスク対応や改善効果などについて記録を残します。
e.教育実施記録
個人情報保護に関する社内研修等の教育記録を作成します。実施日、主催者、教育内容、評価、効果確認などについて記載します。
f.計画書の作成
個人情報保護マネジメントシステムを運用する場合、目標に対する年間計画や評価指標を決め、運用すると良いでしょう。教育・リスクアセスメント・監査など計画が立てられるものは計画書を作成し、計画的に個人情報保護マネジメントシステムをPDCAサイクルで実施します。
g.利用目的の特定に関する記録
個人情報を取得する場合は必ず利用目的を定め、記録を残します。
h.開示対象個人情報に関する開示請求等は対応を記録
個人情報について顧客や取引先等から情報の開示請求や登録情報の削除・修正等何らかの請求があった場合、Pマーク取得企業は速やかに応じる義務があります。
i.監査報告書の作成
Pマーク取得企業は、個人情報保護の運用がJISQ15001の要求事項に適合しているか、定期的に内部監査および外部監査を実施し、指摘事項(改善点)があれば改善します。また、内部監査を実施する場合は、事前に監査チェックリストを作成し、監査終了後監査報告書を作成します。不適合が発生した場合には、別途「是正処置および予防処置の記録」を作成し、改善点や改善効果を後日確認します。監査で作成した報告書関連は全て記録として保管します。
j.代表者による見直しの記録
トップマネジメントは、半期や四半期ごとに中間的なフォローアップを実施します。Pマークで規定されているマネジメントシステムを見直しします。
k. 法令、国が定める指針およびその他の規範の特定に関する記録
法律で個人情報の取り扱いについて規定がある場合、法律が最優先されます。日頃から個人情報保護に関する法律について情報を収集(把握)し、適用される法律について記録を残します。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1
2
3
4
5
6

ISMSとは?図解で易しく解説

2019年10月29日

1,811 Views

7
8

関連するおすすめ記事

ISOプロ講座
HACCPプロ講座