ISO27018と個人情報保護Pマークは何が違う？

情報セキュリティマネジメントシステムの認証 規格 である ISO27001 のアドオン（拡張）としての位置付けを持つ ISO 27018。日本国内では、個人情報保護に関する規格としてPマークが有名ですが、ISO27018とPマークはどのような違いがあるのでしょうか？

今回は、ISO27018の概要や取得の流れ、Pマークとの違いを解説します。

ISO27018とは

ISO27018とは、個人情報に特化した管理策を示し、より強固なISMS（情報セキュリティマネジメントシステム）を構築する目的で策定されたISO27001のアドオン規格のことです。そのため、対象はISO27001を取得するクラウドサービスを提供する企業に限定されています。

ISO27018の認証を取得する企業は、ISO27001やJIS Q 27002で示された管理策を実行・検討すると共に、例えばPII(Personally Identifiable Information)のような個人を特定し得る情報の保護に力点をおいた管理策を実行する必要があります。

なお、自社のクラウドサービス上に個人情報を含んでいない場合などはISO27018認証制度を取得できません。

ISO27001の詳細は、以下の記事をご覧ください。

ISO27017との違い

クラウド環境サービスに関する情報セキュリティ規格には、ISO27018だけでなくISO27017もあります。この2つの違いを以下にまとめました。

どちらを取得するのかという点は、上記の違いを参考に決定すると良いでしょう。ただし、ISO27017・ISO27018のどちらもISO27001のアドオン規格であるため、ISO27001の事前取得か同時取得が必要です。

ISO27017とISO27018の違いの詳細は、以下の記事をご覧ください。

ISO27018の主な取得企業

ISO27018は、世界的に有名な企業も多く取得しています。代表的な取得企業を以下にいくつか紹介します。

• Google
• Microsoft
• Amazon Web Service
• Dropbox

クラウドサービスを運営・利用している場合には、自社の情報セキュリティ体制を強化することが欠かせません。取引先や消費者に安心して利用してもらえるように、多くの企業がISO27018を取得しています。

ISO27018範囲外の個人情報を保護する方法

ISO27018の対象となる情報は、「クラウドサービスにおける個人情報」であり、クラウドサービス以外の個人情報は対象に含まれていません。そのため、クラウドサービス以外の個人情報はどのように保護したら良いのでしょうか。

ここで、覚えておきたいのがISO27018はISO27001のアドオン規格であるという点です。
ISO27018を取得する企業はISO27001やJIS Q 27002にて示される管理策を実行し、その上でクラウド上に存在する個人情報の保護に特化した管理策を実行する場合にISO27018を取得するのです。

つまり、「社内に存在する個人情報の保護」という要素はISO27001でカバーすることが求められます。考え方としては、ISO27001で構築したISMSをより強固なものにするためにISO27018に取り組んでいくのです。そのため、ISO27018の適用範囲は、ISO27001の適用範囲内、あるいはISO27001の適用範囲全体となります。

ISO27018とPマークの関係性

個人情報保護に特化したマネジメントシステム（PMS）としては、国内ではPマークが有名です。PマークそのものはISO27001と比較されることが多いですが、ISO27018とは何が違うのでしょうか？

ISO27018とPマークの違い

最も大きな違いは、ISO27018はクラウド情報として存在する個人情報の保護に特化しているという点です。Pマークはクラウドサービスに特化しているわけではなく、全社的に個人情報を保護するためのマネジメントシステムです。Pマークはクラウドセキュリティに関する要求は主だってされていません。

ISO27018は技術的見地からの対策を重視している点についてもPマークとは異なっています。また、規格が対象とする事業者の種類についても異なります。ISO27018はクラウドサービスを提供する事業者が行うべき管理策が示されているのに対して、Pマークは個人情報を扱う様々な事業者を対象としているため、サービス提供事業者が行うべき管理策というものは示されていないのです。

まとめると、PマークとISO27018の違いは以下のようになります。

PマークとISO27018どちらを取得すべきか？

さまざまな違いがあるPマークとISO27018ですが、どちらを取得すべきなのでしょうか？その問に対する答えは、「組織の状況に応じて異なる」ため、一概に断言はできません。そのため、ISO27018とPマークの違いを把握したうえで、どちらの認証が良いか自社内で検討すると良いでしょう。

認証取得にあたって、一般的に検討すべき内容は「適用範囲」と「規格の有効範囲」です。Pマークは適用範囲が全社になるのに対してISO27000シリーズの規格は適用範囲を企業で決定できます。

また、PマークはJIS規格であり、日本国内での知名度こそ高いものの、海外では認知されていない規格ですので、国際的に事業を推進していくような場合にはISO規格のほうが有利に働くことが多いでしょう。

このように、認証を取得するにあたってのマーケティング的なメリットなども考慮してどちらの規格が適切かということを決定すると良いでしょう。

ISO27018認証取得の流れ

最後にISO27018認証取得の流れを解説します。

1.ISMSの構築

ISO27018は、ISO27001のアドオン規格です。そのため、まずはISO27001の要求事項にもとづくISMSを構築することが必要となります。すでにISO27001を取得している場合には次の手順から実施してください。

ISMSの詳細は、以下の記事をご覧ください。

2.ISO27018にもとづく体制構築

ISO27001の要求事項に沿って構築したISMSを拡張する形で、ISO27018の要求事項に沿った体制をつくります。その際にはルールや手順などの内容について、管理策をもとに整備しましょう。

3.構築したマネジメントシステムの運用

体制を構築したら、実際に運用を開始します。その際に重要なのは社内への周知と教育です。従業員が運用しやすいような形でルールや手順を教育しましょう。

1～2カ月の運用を実施したのち、内部監査 とマネジメントレビュー を実施。より良いISMSへと改善策を立ててPDCAサイクルを回しましょう。

4.第三者認証機関による審査を受ける

ISMSの構築・運用ができたら、第三者認証機関に依頼して認証審査を受けます。
ISO27018の審査は、プライベート認証（審査機関独自の認証）であるために実は統一された審査基準はありません。そのため審査機関の一覧もないので、インターネットで検索するかISO27001の審査を実施している審査機関にISO27018の審査を実施しているかどうかを確認すると良いでしょう。

5.審査通過後、認証授与

無事に審査に通過すると、審査の1カ月後にISO27018の認証が授与されます。自社の情報セキュリティ体制をアピールするため、ホームページやパンフレットなどを用いて、ISO規格取得を公表すると良いでしょう。

まとめ

ISO27018は、クラウドサービスの中でも個人情報保護に特化したISO27001のアドオン規格です。そのため、ISO27001と同時取得するか先に取得しておく必要があります。

クラウドサービスを提供する企業は、ISO27001だけでなくISO27018を取得することで、消費者や取引先に自社の情報セキュリティ体制をより強くアピールできるでしょう。

ISO27018やISO27017、Pマークとさまざまな認証規格があるため、自社の事業に適した規格を選ぶことが大切です。「自社に合った規格がわからない」という場合には、コンサルティング会社にアドバイスを依頼することも一つの手です。まずは豊富な実績があるISOプロにお気軽にお問い合わせください。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。