Pマークは意味がない?返上の原因とISO27001との違いを解説
- Pマークは適用範囲や運用ルールにおいて自由度が低い
- 運用しやすさを考えるとISO27001の取得がおすすめ
情報セキュリティマネジメントシステムの認証規格には、国際規格のISO27001 以外にもPマークなどがあります。日本においては、ISO27001よりもPマークのほうが知名度は高いかもしれません。
その知名度と比例するように、Pマークは認証取得後の運用に苦労するという声をよく聞きます。中には認証取得したPマークの返上に至る企業もあります。
今回は、なぜ、「Pマークの運用は苦労する」のか?なぜ「Pマークの認証を返上されてしまう」のか?についてISO27001との違いを交えながら、解説します。
目次
Pマークとは
Pマーク(プライバシーマーク)とは、個人情報を適切に取り扱う体制を整備している事業者を認定する制度です。
日本産業規格(JISQ15001)の要求事項に則った個人情報保護マネジメントシステム(PMS)を構築するとともに、個人情報保護法にもとづいた対策をすることで、個人情報の「漏えい」「紛失」「改ざん」などのリスクを低減することを目的としています。
Pマークを取得するには、個人情報保護マネジメントシステムを構築・運用後に審査機関による書類・現地審査を受け、問題がなければ取得可能です。その後Pマークのロゴマークが付与され、自社のホームページで使用できるようになります。
Pマークは意味がないと返上される理由・使用停止になる理由
Pマークが「意味ない」と返上される理由と使用停止になる理由を解説します。
Pマーク返上のよくある理由
Pマークを返上するよくある理由を以下にまとめました。
- PMSを運用・更新する必要があり、手間や費用がかかるため
- PMSが自社の実態と乖離しており、従業員の負担になっているため
- Pマークの取得が、個人情報保護の絶対的な保護にはつながらないため
自社で構築したPMSの運用に問題を感じている場合には、返上につながることが多くあります。
Pマークを使用停止になる理由
また、企業がPマークを更新し続けたいと思っていても、Pマークが使用停止や取消になる場合があります。以下に、Pマークを使用停止になる主な理由をまとめました。
- 付与機関(運営する日本情報経済社会推進協会(JIPDEC)のこと)からの注意や勧告に正当な理由なく従わないとき
- 個人情報漏えいなどの重大な事故を発生させたとき
- 個人情報の不正取得
- 必要に応じた個人情報の開示を行わないとき
問題が発生してしまった場合には、Pマークの使用停止だけでなく、自社の個人情報保護体制の対外的な信頼も損失してしまいます。故意、過失問わず、大きな社会問題になってしまうでしょう。
ISO27001とは
ISO27001とは、企業などが取り扱う情報資産を管理する情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報セキュリティの3要素である「機密性」「完全性」「可用性」のバランスを守り、情報資産の適切な管理を目指しています。
ISO27001はIT企業を中心に、情報資産を多く保有している人材派遣業や金融業などでも取得が進んでいます。日本国内だけでなく、海外においても普及している規格です。
PマークとISO27001の違い
情報セキュリティの規格として知られるPマークとISO27001には、規格としての違いが2点あります。
1点目は「発行元」の違いです。
Pマークは日本のJIPDECが定めた国内規格であり、ISO27001は国際標準化機構(ISO)が定めた国際規格です。つまり、日本国内でのみしか通用しないのがPマークで、海外でも通用するのが「ISO27001」となります。
2点目は取り扱う「情報資産」の違いです。
Pマークは企業が取り扱う個人情報のみを対象にしているのに対し、ISO27001は企業が保有する情報資産(個人情報も含む)を対象としています。
PマークとISO27001の自由度の比較
昨今Pマークの運用が難しいとよく耳にします。その最も大きな理由は「自由度」の低さにあります。
まず「適用範囲」が大きく違います。
Pマークは全社、ISO27001は必要な部署に限定ができます。真に必要な範囲とすることで、ISO27001は最小限かつ効率的な取得・運用が可能です。
特にPマークは、個人情報と関係ない事業所や部署でさえも、決められた新ルールを導入しなければならず、取り組みへの「納得感」・「従業員の教育」・「運用面」に負荷がかかることは想像に難くありません。
次に自由度に最も影響を与えている「運用ルール」の違いです。
Pマークはやることがガチガチに決まっているため、組織の実態に合わすことができません。これはPマークが、具体的な管理策を提示したISO27001の附属書(※1)を参考に作られた規格であることが原因といえます。
一方でISO27001は管理策が「93」もありますが、システム開発をしていない会社などは、実態に合わせて管理策の一部を適用除外できます。つまり自由度が高いのです。
こうした取り組みへの「納得感」や「必要のない負荷」が原因で、Pマークを返上しISO27001へ切り替える企業は少なくありません。
Pマークは取得すべきではない?
Pマークは取得すべきではない規格なのかどうかについて解説します。
Pマークが取得される理由
自由度の低いPマークですが、それでも取得され続けるのには理由があります。
主な理由は、取引先から求められたり、公共事業などの入札条件になっていたりするなど、売上に直結する点が挙げられます。
また知名度が高いため、取得企業は「個人情報保護」に取り組んでいる企業としてプラスのイメージにつながりやすく、対外的なアピールに活用できる側面もあります。
そのため、Pマークは決して「意味のない規格」ではありません。
やることが決まっているからこそ取り組みやすい
自由度が低いことは「悪」なのか?必ずしも「悪」ではありません。Pマークはやることが決まっているが故に、認証取得に向けた活動はしやすいと感じられる企業もあります。
ISO27001は自由度の高さから、どこまで適用除外できるのかなど判断ができないという企業もあります。そのため、認証取得までを考えると、Pマークの方が難易度は低いといえるでしょう。
ただ運用に自由度がない上、企業の実態と合わせた運用ができないことで、運用に負荷を感じる企業が多いのが実態です。
事業の実態に合わせた情報セキュリティの強化ならISO27001がおすすめ
一般的には「BtoBならISO27001」、「BtoCならPマーク」といわれてきましたが、2019年の個人情報に特化したISO27701の登場で、個人情報の認証取得の選択肢が広がりました。
Pマークの認証取得が取引先(入札)で明確に求められている場合は、Pマーク以外の選択はありません。
しかし、そうでないなら事業の実態に合わせられるISO27001の取得がおすすめです。個人情報の認証が必要になった際には、ISO27701の追加取得も可能です。
実態に合わせた対策と運用こそが、取り組みに対する従業員の満足度につながります。その結果、従業員のセキュリティ意識の向上、さらに企業に根付くマネジメントシステムに醸成できるでしょう。
まとめ
今回はPマークとISO27001の違いについて解説しました。今まで多くの企業と関わってきた中でいえることは、企業の根幹であるマネジメントシステムは、「自由度」が高く、「運用」しやすいに越したことはないということです。
ISO27001は、企業の体制や事業規模に合わせた「目標の設定」と「取組み」をさせていきます。「自由度」があるからこそ、「有効な施策」が実施できるのです。「自由度」があるからこそ、「改善」していけるのです。
最後に、Pマークの認証取得を取引先から求められていないのであれば、PマークよりISO27001を選択することを推奨します。
ISOプロにご依頼いただくお客様の中には、PマークからISO27001へのリプレースをされる企業様もいらっしゃいます。企業様の状況に合わせて、最適なスケジュールやプランをご提示していますので、もしPマークとISO27001でお悩みでしたらご相談ください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい