ISO27018と個人情報保護 Pマークと何が違う?

著者:ISOプロ担当者
投稿日:
更新日:2019年11月22日

情報セキュリティマネジメントシステム認証 規格であるISO27001のアドオン(拡張)としての位置付けを持つISO27018。日本国内では、個人情報保護に関する規格としてPマークが有名ですが、ISO27018とPマークはどのような違いがあるのでしょうか?

今回は、ISO27018について解説すると共に、Pマークとの違いについて触れていきたいと思います。

ISO27018とは

ISO27018とは、ISO27001を取得するクラウドサービスを提供する企業を対象として、個人情報に特化した管理策を示すことでより強固なISMSを構築する目的で策定されたISO27001のアドオン規格のことです。

ISO27018の認証を取得する企業は、ISO27001やJIS Q 27002で示された管理策を実行・検討すると共に、例えばPII(Personally Identifiable Information)のような個人を特定し得る情報の保護に力点をおいた管理策を実行する必要があります。

なお、自社のクラウドサービス上に個人情報を含んでいない場合などはISO27018認証を取得することができません。

PマークとISO27018の違い

個人情報保護に特化したマネジメントシステム(PMS)としては、国内ではPマークが有名です。PマークそのものはISO27001と比較されることが多いですが、ISO27018とは何が違うのでしょうか?

最も大きな違いは、ISO27018はクラウド情報として存在する個人情報の保護に特化しているという点です。Pマークはクラウドサービスに特化しているわけではなく、全社的に個人情報を保護するためのマネジメントシステムです。Pマークはクラウドサービスに関する要求は主だってされていません。

ISO27018は技術的見地からの対策を重視している点についてもPマークとは異なっています。また、規格が対象とする事業者の種類についても異なります。ISO27018はクラウドサービスを提供する事業者が行うべき管理策が示されているのに対して、Pマークは個人情報を扱う様々な事業者を対象としているため、サービス提供事業者が行うべき管理策というものは示されていないのです。

まとめると、PマークとISO27018の違いは以下のようになります。

Pマーク Pマーク ISO27018
対象事業者 個人情報を扱う全事業者 クラウドサービス提供事業者
保護対象の情報 社内に存在する個人情報 クラウド上に存在する個人情報
取り組みの内容 マネジメントシステムの構築 マネジメントシステムの構築及び技術的な管理策の実行
規格の適用範囲 原則的に全社 企業の状況に応じて適切とされる範囲
認証の有効範囲 日本国内 海外

クラウド上に存在しない個人情報の保護はどうすべきか?

さて、ここまで読んでいただいて、「ISO27018を取得するだけでは全ての個人情報を保護できないのではないか?」と考えた方もいらっしゃるかもしれません。——しかし、忘れてはいけないのは、ISO27018はISO27001のアドオン規格であるという点です。

ISO27018を取得する企業はISO27001やJIS Q 27002にて示される管理策を実行し、その上でクラウド上に存在する個人情報の保護に特化した管理策を実行する場合にISO27018を取得するのです。

つまり、「社内に存在する個人情報の保護」という要素はISO27001でカバーされているべきであり、そのISMSをより強固なものにするためにISO27018に取り組んでいくのです。

事実、ISO27018の適用範囲はISO27001の適用範囲内、あるいはISO27001の適用範囲全体である必要があります。——要するに、ISO27001を取得しなければISO27018を取得することができないというわけです。

PマークとISO27018どちらを取得すべきか?

——では、PマークとISO27018のどちらを取得すべきなのでしょうか? その問に対する答えは、「企業の状況に応じて異なる」としか言うことができません。

上記でご紹介したようなISO27018とPマークの違いを把握した上で、どちらの認証が良いかということは、自社内で検討すると良いでしょう。認証取得にあたって検討すべきは、「適用範囲」と「規格の有効範囲」が主だと思いますが、Pマークは適用範囲が全社になるのに対してISO27000シリーズの規格は適用範囲を企業で決定することができます。(もちろん、要求事項を把握した上で適切だと思われる範囲になりますが)

また、PマークはJIS規格であり、日本国内での知名度こそ高けれど、海外では認知されていない規格ですので、国際的に事業を推進していくような場合はISO規格のほうが有利に働くことが多いでしょう。

——このように、認証を取得するにあたってのマーケティング的なメリットなども考慮してどちらの規格が適切かということを決定すると良いでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001入門

【ISO27001入門】規格の詳細から要求事項・取得のノウハ…

ISO取得・運用ガイド

ISOを初めて取得する方や運用中の方のお悩みを基礎知識から実際の取得・構築・運用・継続や更新についてステップ形式で解説していきます。気になる費用などの情報も満載です。

こんな方に読んでほしい

  • ISOを初めて取得する方
  • すでにISO運用中の方

自社取得、自社運用、アウトソーシングをするための基礎知識や流れをご説明します。

インタビュー

タレント揃い!「人」にこだわるIT企業のISO導入成功の鍵

ISOプロ講座 HACCPプロ講座 HACCPセミナー マンガで分かるISOプロ お電話での問い合わせ コンサルタント募集
WEB相談