Pマーク取得と返上 。原因は自由度の低さ!?ISO27001との違いを解説

情報セキュリティマネジメントシステムの認証 規格 には、国際規格の ISO27001 以外にもPマークなどがあります。日本においては、 ISO 27001よりもPマークのほうが知名度は高いかもしれません。
その知名度と反比例するように、Pマークは認証取得後の運用に苦労するという声をよく聞きます。中には認証取得したPマークの返上に至る企業もあります。
今回は、なぜ、「Pマークの運用は苦労する」のか? なぜ「Pマークの認証を返上されてしまう」のか?についてISO27001との違いを交えながら、解説します。
目次
Pマークとは
Pマーク(プライバシーマーク)とは、個人情報を適切に取り扱う体制を整備している事業者を認定 する制度です。日本産業規格(JIS Q15001)の要求事項に則った仕組みを構築すると共に、個人情報保護法に基づいた対策をすることで、個人情報の「漏えい」「紛失」「改ざん」などのリスクを低減することを目的としています。

ISO27001とは
ISO27001とは、企業などが取り扱う情報資産を管理する情報セキュリティマネジメントシステム(ISMS )に関する国際規格です。情報セキュリティの3要素である「機密性 」「完全性 」「可用性」のバランスを守り、情報資産の適切な管理を目指しています。
PマークとISO27001の違い
情報セキュリティの規格として知られるPマークとISO27001には、規格としての違いが2点あります。
1点目は「発行元」の違いです。
Pマークは日本のJIPDECが定めた国内規格であり、ISO27001は国際標準化機構(ISO)が定めた国際規格です。つまり、日本国内でのみしか通用しないのがPマークで、海外でも通用するのが「ISO27001」となります。
2点目は取り扱う「情報資産」の違いです。
Pマークは企業が取り扱う個人情報のみを対象にしているのに対し、ISO27001は企業が保有する情報資産(個人情報も含む)を対象としています。

PマークとISO27001の自由度の比較
昨今Pマークの運用が難しいとよく耳にします。その最も大きな理由は「自由度」の低さにあります。
まず「適用範囲」が大きく違います。
Pマークは全社、ISO27001は必要な部署に限定ができます。真に必要な範囲とすることで、ISO27001は最小限かつ効率的な取得・運用が可能です。
特にPマークは、個人情報と関係ない事業所や部署でさえも、決められた新ルールを導入しなければならず、取り組みへの「納得感」・「従業員の教育」・「運用面」に負荷がかかることは想像に難くありません。
次に自由度に最も影響を与えている「運用ルール」の違いです。
Pマークはやることがガチガチに決まっているため、組織の実態に合わすことができません。これはPマークが、具体的な管理策を提示したISO27001の附属書(※1)を参考に作られた規格であることが原因といえます。
一方でISO27001は管理策が「114」もありますが、システム開発をしていない会社などは、その実態に合わせて管理策の一部を適用除外することができます。つまり自由度が高いのです。
こうした取り組みへの「納得感」や「必要のない負荷」が原因で、Pマークを返上しISO27001へ切り替える企業は少なくありません。
取得するならISO27001
Pマークが取得される理由
自由度の低いPマークですが、それでも取得され続けるのには理由があります。
主な理由は、取引先から求められたり、公共事業などの入札条件になっているなど、 売上に直結する点が挙げられます。また知名度が高いため、取得していると「個人情報保護」に取り組んでいる企業というプラスのイメージに繋がりやすく、対外的なアピールに活用できる側面もあります。
やることが決まっているからこそ取り組みやすい
自由度が低いことは「悪」なのか?必ずしも「悪」ではありません。Pマークはやることが決まっているが故に、認証取得に向けた活動はしやすいと感じられる企業もあります。ISO27001は自由度の高さから、どこまで適用除外できるのかなど判断ができないという方もおられます。
認証取得までを見れば、Pマークの方が難易度は低いと言えます。ただ運用に自由度がない上、企業の実態と合わせた運用ができないことで、運用に負荷を感じる企業が多いのが実態です。
運用を見据えるならISO27001
一般的には「BtoBならISO27001」「BtoCならPマーク」と言われてきましたが、2019年の個人情報に特化したISO27701の登場で、個人情報の認証取得の選択肢が広がりました。
Pマークの認証取得が取引先(入札)で明確に求められている場合は、Pマーク以外の選択はありません。
しかし、そうでないなら事業の実態に合わせられるISO27001の取得をお勧めします。個人情報の認証が必要になった際は、ISO27701を追加で取得することもできます。
実態に合わせた対策と運用こそが、取り組みの納得感に繋がり、その納得感を通じて従業員のセキュリティ意識の向上、強いては企業に根付くマネジメントシステムになるでしょう。

まとめ
今回はPマークとISO27001の違いについて解説しました。今まで多くの企業と関わってきた中で言えることは、企業の根幹であるマネジメントシステムは、「自由度」が高く、「運用」しやすいに越したことはないということです。
ISO27001は、企業の体制や事業規模に合わせた「目標の設定」と「取組み」をさせていきます。 「自由度」があるからこそ、「有効な施策」が実施できるのです。「自由度」があるからこそ、「改善」していけるのです。
最後に、Pマークの認証取得を取引先から求められていないのであれば、PマークよりISO27001を選択することを推奨します。
ISOプロにご依頼いただくお客様の中には、PマークからISO27001へのリプレースをされる企業様もいらっしゃいます。企業様の状況に合わせて、最適なスケジュールやプランをご提示していますので、もしPマークとISO27001でお悩みでしたらご相談ください。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

こんな方に読んでほしい