• ISO27001とPマークは、PDCAサイクルを採用したマネジメントシステムである
  • ISO27001は適用範囲内の全ての情報資産が対象
  • Pマークは全社が適用範囲となり、個人情報のみ対象。但し、情報を保有しない部門/部署も対象となる

多くの顧客情報や個人情報含む人事情報など保有している企業にとって情報漏洩対策は大きな課題で、ISO27001 認証やプライベートマーク(Pマーク)認定 への取り組みを検討されている企業も多いことでしょう。

ISO 27001とPマークでは大きな違いがあります。
簡単に説明すると、ISO27001は『情報セキュリティマネジメントシステム』の略称で、“情報資産”と呼ばれる資産の価値がある情報であり、事業者の財務情報や人事情報、技術情報はもちろん、個人情報も含まれます。
一方でPマークは『個人情報保護マネジメントシステム』の略称で、保護対象である情報は“個人情報”になります。

今回の記事では、ISO27001とPマークの違いや導入の目的について解説していきます。

目次

ISO/IEC27001では

 ISO/IEC27001では、企業/組織が決定した適用範囲 において、個人情報含む情報資産に対する適切な情報セキュリティ対策が、ISO/IEC27001の要求事項機密性完全性可用性」(3原則)に適合し、ISMS の運用維持、継続的に改善されていることが重要です。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

Pマークへの適合

 「Pマーク」とはプライバシーマークのことで、一般財団法人日本情報経済社会推進協会(JIPDEC)によって運営されおり、プライバシーマークを付与されるには、「JIS Q
15001」個人情報保護マネジメントシステムの規格に適合する必要があります。また、JIS Q
15001は国内規格で、個人情報の収集から利用・保管・廃棄まで詳細に規定しており、個人情報を取り扱うときの仕組みや手続き、運用体制の評価基準などの要求にも適合した事業者にプライバシーマークが付与されます。

ISO27001とPマークの違いについて

ISO/IEC27001とPマークは、PDCAサイクルを採用したマネジメントシステムですが、下記図1に示すように適用基準や要求が異なり、2つの制度の仕組みは全く異なります。

ISO/IEC27001とPマークは、共に組織内の情報を保護するための仕組みですが、適用規格や保護される情報の対象範囲、規格の要求事項、更新期間などが異なります。図1異なる適用基準にまとめました。

図1 異なる適用基準

Pマーク ISO/IEC27001
適用基準 日本工業規格 JISQ15001:2006 国際標準規格 ISO/IEC27001:2013
日本工業規格 JISQ27001:2014
要求 適切な個人情報の取り扱い 情報の機密性・完全性・可用性の維持
更新期間 2年更新 3年毎及び毎年の継続審査
審査機関 指定審査機関 外部審査機関(任意)
特長 B to C:大企業(システム部門内包) B to B:組織規模・業種問わず

導入目的

①ISMS (*1):

 企業/組織は、「機密性・完全性・可用性」をバランスよく維持・改善し、リスクを適正にマネジメントし適切な情報資産の管理体制を整備すること、および情報流出やサイバー攻撃など情報セキュリティ対策の一環としてISMSを導入します。
*1 弊社サイト[ISOシリーズ]のコラム「ISMSについて」でISMSについて掲載しています。こちらも合わせてご覧ください。

②Pマーク:

 インターネットの発展やITの普及より、個人情報の適切な管理および個人の権利や利益の保護は、企業/組織において社会的責任であり、重要課題の1つになっています。一般的に、Pマークの取得は、自社を外部にアピールする、顧客や取引先との信頼関係をより向上させるためにPマークを取得するケースが多いです。

 また、Pマーク制度の目的についても以下に示しましたが、より消費者目線であることがわかります。

【Pマーク制度の目的】
  • 消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
  • 適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること

守るべきもの

  • ISMS : 適用範囲内の全ての情報資産。
  • Pマーク: 全社が適用範囲となり、個人情報のみ。但し、情報を保有しない部門/部署も対象となる。

文書/記録

  • ISMS:  ISO/IEC27001の要求事項に従い、組織のリスクアセスメントに基づいてISMS文書を作成します。
  • Pマーク:ISMS同様にPDCAサイクルを実施し、継続的に改善、改善記録の作成。

以下、必要に応じて、各種作成記録-例に記録を作成します。

【各種作成記録-例】

a.個人情報(個人情報管理台帳)の記録
会社が取得した個人情報について洗い出し、個人情報の保護が適用されるか否か、確認します。個人情報保護データに該当する場合は個人情報管理台帳に登録します。
b.苦情および相談への対応記録
個人情報の登録や取り扱いなどについて、顧客や取引先から意見や苦情が寄せられた場合は迅速に対応するとともに、すべての対応記録を残します。
c.運用の確認記録
全社各部門/部署において、日常業務の中でPマークの運用が適正に実施されているか確認し、記録を作成します。
d. 個人情報のリスクの認識、分析および対策に関する記録
個人情報に対するリスクアセスメントを実施し、リスク対応や改善効果などについて記録を残します。
e.教育実施記録
個人情報保護に関する社内研修等の教育記録を作成します。実施日、主催者、教育内容、評価、効果確認などについて記載します。
f.計画書の作成
個人情報保護マネジメントシステムを運用する場合、目標に対する年間計画や評価指標を決め、運用すると良いでしょう。教育・リスクアセスメント・監査など計画が立てられるものは計画書を作成し、計画的に個人情報保護マネジメントシステムをPDCAサイクルで実施します。
g.利用目的の特定に関する記録
個人情報を取得する場合は必ず利用目的を定め、記録を残します。
h.開示対象個人情報に関する開示請求等は対応を記録
個人情報について顧客や取引先等から情報の開示請求や登録情報の削除・修正等何らかの請求があった場合、Pマーク取得企業は速やかに応じる義務があります。
i.監査報告書の作成
Pマーク取得企業は、個人情報保護の運用がJISQ15001の要求事項に適合しているか、定期的に内部監査および外部監査を実施し、指摘事項(改善点)があれば改善します。また、内部監査を実施する場合は、事前に監査チェックリストを作成し、監査終了後監査報告書を作成します。不適合が発生した場合には、別途「是正処置および予防処置の記録」を作成し、改善点や改善効果を後日確認します。監査で作成した報告書関連は全て記録として保管します。
j.代表者による見直しの記録
トップマネジメントは、半期や四半期ごとに中間的なフォローアップを実施します。Pマークで規定されているマネジメントシステムを見直しします。
k. 法令、国が定める指針およびその他の規範の特定に関する記録
法律で個人情報の取り扱いについて規定がある場合、法律が最優先されます。日頃から個人情報保護に関する法律について情報を収集(把握)し、適用される法律について記録を残します。
関連記事:Pマーク取得と返上 。原因は自由度の低さ!?ISO27001との違いを解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ