情報セキュリティマネジメントシステム認証 規格 には、国際規格の ISO27001 以外にもPマークなどがあります。日本においては、 ISO 27001よりもPマークのほうが知名度は高いかもしれません。

その知名度と反比例するように、Pマークは認証取得後の運用に苦労するという声をよく聞きます。中には認証取得したPマークの返上に至る企業もあります。

今回は、なぜ、「Pマークの運用は苦労する」のか? なぜ「Pマークの認証を返上されてしまう」のか?についてISO27001との違いを交えながら、解説します。

Pマークとは

Pマーク(プライバシーマーク)とは、個人情報を適切に取り扱う体制を整備している事業者を認定 する制度です。日本産業規格(JIS Q15001)の要求事項に則った仕組みを構築すると共に、個人情報保護法に基づいた対策をすることで、個人情報の「漏えい」「紛失」「改ざん」などのリスクを低減することを目的としています。

関連記事:【Pマーク入門】認証取得のキホンと規格要求事項を徹底解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001とは

ISO27001とは、企業などが取り扱う情報資産を管理する情報セキュリティマネジメントシステム(ISMS )に関する国際規格です。情報セキュリティの3要素である「機密性 」「完全性 」「可用性」のバランスを守り、情報資産の適切な管理を目指しています。

関連記事:【ISO27001入門】認証取得のキホンと規格要求事項を徹底解説
関連記事:【初心者向け】ISO27001とは?取得メリットや手順・費用について解説

PマークとISO27001の違い

情報セキュリティの規格として知られるPマークとISO27001には、規格としての違いが2点あります。

1点目は「発行元」の違いです。
Pマークは日本のJIPDECが定めた国内規格であり、ISO27001は国際標準化機構(ISO)が定めた国際規格です。つまり、日本国内でのみしか通用しないのがPマークで、海外でも通用するのが「ISO27001」となります。

2点目は取り扱う「情報資産」の違いです。
Pマークは企業が取り扱う個人情報のみを対象にしているのに対し、ISO27001は企業が保有する情報資産(個人情報も含む)を対象としています。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

PマークとISO27001の自由度の比較

昨今Pマークの運用が難しいとよく耳にします。その最も大きな理由は「自由度」の低さにあります。

まず「適用範囲」が大きく違います。
Pマークは全社、ISO27001は必要な部署に限定ができます。真に必要な範囲とすることで、ISO27001は最小限かつ効率的な取得・運用が可能です。
特にPマークは、個人情報と関係ない事業所や部署でさえも、決められた新ルールを導入しなければならず、取り組みへの「納得感」・「従業員の教育」・「運用面」に負荷がかかることは想像に難くありません。

次に自由度に最も影響を与えている「運用ルール」の違いです。
Pマークはやることがガチガチに決まっているため、組織の実態に合わすことができません。これはPマークが、具体的な管理策を提示したISO27001の附属書(※1)を参考に作られた規格であることが原因といえます。
一方でISO27001は管理策が「114」もありますが、システム開発をしていない会社などは、その実態に合わせて管理策の一部を適用除外することができます。つまり自由度が高いのです。

こうした取り組みへの「納得感」や「必要のない負荷」が原因で、Pマークを返上しISO27001へ切り替える企業は少なくありません。

取得するならISO27001

Pマークが取得される理由

自由度の低いPマークですが、それでも取得され続けるのには理由があります。
主な理由は、取引先から求められたり、公共事業などの入札条件になっているなど、 売上に直結する点が挙げられます。また知名度が高いため、取得していると「個人情報保護」に取り組んでいる企業というプラスのイメージに繋がりやすく、対外的なアピールに活用できる側面もあります。

やることが決まっているからこそ取り組みやすい

自由度が低いことは「悪」なのか?必ずしも「悪」ではありません。Pマークはやることが決まっているが故に、認証取得に向けた活動はしやすいと感じられる企業もあります。ISO27001は自由度の高さから、どこまで適用除外できるのかなど判断ができないという方もおられます。
認証取得までを見れば、Pマークの方が難易度は低いと言えます。ただ運用に自由度がない上、企業の実態と合わせた運用ができないことで、運用に負荷を感じる企業が多いのが実態です。

運用を見据えるならISO27001

一般的には「BtoBならISO27001」「BtoCならPマーク」と言われてきましたが、2019年の個人情報に特化したISO27701の登場で、個人情報の認証取得の選択肢が広がりました。

Pマークの認証取得が取引先(入札)で明確に求められている場合は、Pマーク以外の選択はありません。
しかし、そうでないなら事業の実態に合わせられるISO27001の取得をお勧めします。個人情報の認証が必要になった際は、ISO27701を追加で取得することもできます。

実態に合わせた対策と運用こそが、取り組みの納得感に繋がり、その納得感を通じて従業員のセキュリティ意識の向上、強いては企業に根付くマネジメントシステムになるでしょう。

関連記事:プライバシーを守る国際規格ISO27701とは?
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

今回はPマークとISO27001の違いについて解説しました。今まで多くの企業と関わってきた中で言えることは、企業の根幹であるマネジメントシステムは、「自由度」が高く、「運用」しやすいに越したことはないということです。

ISO27001は、企業の体制や事業規模に合わせた「目標の設定」と「取組み」をさせていきます。 「自由度」があるからこそ、「有効な施策」が実施できるのです。「自由度」があるからこそ、「改善」していけるのです。
最後に、Pマークの認証取得を取引先から求められていないのであれば、PマークよりISO27001を選択することを推奨します。

ISOプロにご依頼いただくお客様の中には、PマークからISO27001へのリプレースをされる企業様もいらっしゃいます。企業様の状況に合わせて、最適なスケジュールやプランをご提示していますので、もしPマークとISO27001でお悩みでしたらご相談ください。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

Pマーク、50,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ