ISO27018と個人情報保護 Pマークと何が違う?

情報セキュリティマネジメントシステムの認証 規格 である ISO27001 のアドオン(拡張)としての位置付けを持つ ISO 27018。日本国内では、個人情報保護に関する規格としてPマークが有名ですが、ISO27018とPマークはどのような違いがあるのでしょうか?
今回は、ISO27018について解説すると共に、Pマークとの違いについて触れていきたいと思います。
ISO27018とは
ISO27018とは、ISO27001を取得するクラウドサービスを提供する企業を対象として、個人情報に特化した管理策を示すことでより強固なISMSを構築する目的で策定されたISO27001のアドオン規格のことです。
ISO27018の認証を取得する企業は、ISO27001やJIS Q 27002で示された管理策を実行・検討すると共に、例えばPII(Personally Identifiable Information)のような個人を特定し得る情報の保護に力点をおいた管理策を実行する必要があります。
なお、自社のクラウドサービス上に個人情報を含んでいない場合などはISO27018認証を取得することができません。

PマークとISO27018の違い
個人情報保護に特化したマネジメントシステム(PMS)としては、国内ではPマークが有名です。PマークそのものはISO27001と比較されることが多いですが、ISO27018とは何が違うのでしょうか?
最も大きな違いは、ISO27018はクラウド情報として存在する個人情報の保護に特化しているという点です。Pマークはクラウドサービスに特化しているわけではなく、全社的に個人情報を保護するためのマネジメントシステムです。Pマークはクラウドサービスに関する要求は主だってされていません。
ISO27018は技術的見地からの対策を重視している点についてもPマークとは異なっています。また、規格が対象とする事業者の種類についても異なります。ISO27018はクラウドサービスを提供する事業者が行うべき管理策が示されているのに対して、Pマークは個人情報を扱う様々な事業者を対象としているため、サービス提供事業者が行うべき管理策というものは示されていないのです。
まとめると、PマークとISO27018の違いは以下のようになります。
Pマーク | Pマーク | ISO27018 |
---|---|---|
対象事業者 | 個人情報を扱う全事業者 | クラウドサービス提供事業者 |
保護対象の情報 | 社内に存在する個人情報 | クラウド上に存在する個人情報 |
取り組みの内容 | マネジメントシステムの構築 | マネジメントシステムの構築及び技術的な管理策の実行 |
規格の適用範囲 | 原則的に全社 | 企業の状況に応じて適切とされる範囲 |
認証の有効範囲 | 日本国内 | 海外 |
クラウド上に存在しない個人情報の保護はどうすべきか?
さて、ここまで読んでいただいて、「ISO27018を取得するだけでは全ての個人情報を保護できないのではないか?」と考えた方もいらっしゃるかもしれません。——しかし、忘れてはいけないのは、ISO27018はISO27001のアドオン規格であるという点です。
ISO27018を取得する企業はISO27001やJIS Q 27002にて示される管理策を実行し、その上でクラウド上に存在する個人情報の保護に特化した管理策を実行する場合にISO27018を取得するのです。
つまり、「社内に存在する個人情報の保護」という要素はISO27001でカバーされているべきであり、そのISMSをより強固なものにするためにISO27018に取り組んでいくのです。
事実、ISO27018の適用範囲はISO27001の適用範囲内、あるいはISO27001の適用範囲全体である必要があります。——要するに、ISO27001を取得しなければISO27018を取得することができないというわけです。

PマークとISO27018どちらを取得すべきか?
——では、PマークとISO27018のどちらを取得すべきなのでしょうか? その問に対する答えは、「企業の状況に応じて異なる」としか言うことができません。
上記でご紹介したようなISO27018とPマークの違いを把握した上で、どちらの認証が良いかということは、自社内で検討すると良いでしょう。認証取得にあたって検討すべきは、「適用範囲」と「規格の有効範囲」が主だと思いますが、Pマークは適用範囲が全社になるのに対してISO27000シリーズの規格は適用範囲を企業で決定することができます。(もちろん、要求事項を把握した上で適切だと思われる範囲になりますが)
また、PマークはJIS規格であり、日本国内での知名度こそ高けれど、海外では認知されていない規格ですので、国際的に事業を推進していくような場合はISO規格のほうが有利に働くことが多いでしょう。
——このように、認証を取得するにあたってのマーケティング的なメリットなども考慮してどちらの規格が適切かということを決定すると良いでしょう。

ISOプロでは月額4.4万円(税込)から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4.4万円(税込)からご利用いただけます。

こんな方に読んでほしい