PマークとISO27001の違いは何？

PマークもISO27001も、情報セキュリティマネジメントシステム規格という点では同じですが、以下の点で違いがあります。対象となる情報資産国際的な知名度規格要求事項の記述（適用範囲など） ISO27001は情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。この規格は組織が保有するあらゆる情報資産を保護することを目的としたマネジメントシステム規格として、世界中で認知されています。一方のPマークは、個人情報保護法を土台として構築された個人情報という情報資産の保護に特化した日本独自のマネジメントシステム規格です。

PマークとISO27001はどっちの認証が良いの？

PマークとISO27001では、マネジメントシステムが対象とする情報の範囲が異なるため、一概にどちらが優れているかという判断を下すことはできません。個人情報に特化したマネジメントシステムを構築する場合はPマーク、個人情報を含む組織内の情報資産全体の保護を目指すならISO27001が適しているでしょう。

Pマークを運用していますが、書類の多さに頭を悩ませています。書類を減らすことは可能なのでしょうか？

一概には言えませんが、規格要求事項で要求されている以上の文書がある場合、削減することができます。

プライバシーマーク（Pマーク）って？取得企業数やメリットについて解説

監修残田康平

著者：ISOプロ担当者

ページタイトルとURLがコピーされました。

プライバシーマーク（Pマーク）って？取得企業数やメリットについて解説 | ISOプロ https://activation-service.jp/iso/column/7300?utm_source=urlshare

投稿日：2023年01月06日

更新日：2023年01月06日

291view

情報セキュリティが重要視されている現代では、組織が取り扱っている従業員や消費者の個人情報は、厳密に管理することが求められるようになっています。そのため、個人情報保護に関する規格であるプライバシーマーク（Pマーク）の取得を検討する組織が増えています。

そこで本記事では、プライバシーの概要や取得企業数、取得に関して解説していきます。

プライバシーマーク（Pマーク）って？
プライバシーマーク制度が設立された理由
個人情報が漏洩する原因
情報漏洩による損失
プライバシーマークを取得した企業の数や業種
プライバシーマークを取得するメリット・デメリット
プライバシーマークを取得する手順
プライバシーマーク取得後の注意点
- 有効期限がある
- 定期的な従業員教育が必要
まとめ

プライバシーマーク（Pマーク）って？

プライバシーマークとは、日本国内で有効な個人情報保護マネジメントシステム（PMS ）のことです。一般財団法人日本情報経済社会推進協会（JIPDEC）やその指定機関による審査を受け、適合性を認定されることで、プライバシーマークの使用を認められるようになります。
また、プライバシーマークを取得するには、JIS（日本産業規格）が定めた「JIS Q 15001個人情報保護マネジメントシステム- 要求事項」に適合していることが必要です。

プライバシーマークを取得することで、個人情報の漏えいや紛失、改ざんなどのリスク低減するための個人情報マネジメントシステムを構築・運用することができます。

プライバシーマーク制度が設立された理由

インターネットやIT技術の進歩により、個人情報をインターネット上に預けることで受けられるサービスが普及するようになりました。この変化によって、個人情報を保護できる体制が整ってない組織において、個人情報漏えいなどの問題が発生していました。こうした問題が多発したことで、個人情報の取り扱いが社会的に求められるようになったのです。

そこで、通商産業省（現：経済産業省）の指導により、プライバシーマーク（Pマーク）制度が設立されたのです。

個人情報が漏洩する原因

日本ネットワークセキュリティ協会（JNSA）の2018年の調査報告によると、情報漏えいの10位までの原因は以下のようになっています。

1位：紛失・置忘れ
2位：誤操作
3位：不正アクセス
4位：管理ミス
5位：盗難
6位：設定ミス
7位：内部犯罪・内部不正行為
8位：不正な情報持ち出し
9位：バグ・セキュリティホール
10位：その他

参考：特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）「2018年　情報セキュリティインシデントに関する調査報告書」

原因を確認すると、組織外部からの影響による漏えいは不正アクセス、盗難などがあるものの、大部分は組織内部による問題となっています。
情報漏えいの最も多い原因である紛失・置忘れについては、働き方改革の推進にともなって、テレワークの導入が増えていることによる影響が考えられます。例えば、社用パソコンやデバイスなどを外出先のカフェなどに置き忘れたり、移動の際に紛失したりといったミスがあるでしょう。

このように、外部要因による漏えいリスクの低減だけでなく、ヒューマンエラーを予防するために全社的に取り組むことが、情報漏えいのリスクを低減するうえで欠かせません。

情報漏洩による損失

賠償金・見舞金などの金銭的な支払による損害

まず、金銭における直接的な損失としては、事故対応損害、賠償損害、利益損害などが挙げられます。それぞれの概要を解説します。

・事故対応損害：被害が発生してからの初動対応から復旧、再発防止までの対応を行った際にかかる損害のことです。
・賠償損害：被害を被った顧客から損害賠償請求がされた際に、負担した損害のことです。
・利益損害：被害が発生してから事業を中断した際に発生した利益喪失や、人件費などの支出による損害のことです。
参考：特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）「インシデント損害額調査レポート　2021年版」

社会的信用の低下

間接的な損失として挙げられるのが、社会的信用を失うことです。
昨今では、商品・サービスの質だけでなく、社会から求められている役割を果たしているかどうかが組織の価値を左右する大きな要素になっています。その中で、情報セキュリティにおける安全性の有無も、非常に重視されている部分です。

そのため、情報漏えいが発生すると、組織の内部体制に疑問をもたれ、社会的な信用を失ってしまうのです。また、社会的信用の低下により、取引や契約の機会損失や売上の減少にもつながる可能性があります。

経営活動の悪化

組織外部における損失だけでなく、組織内部においても経営活動が悪化するおそれがあります。
情報漏えいの調査から対策までは、基本的には組織内で行わなければなりません。また、情報漏えいが発生した情報がメディアにより拡散されることで、多くの問い合わせが寄せられる可能性がありますが、その対応を行うのも従業員です。こうした対応に追われることで、業務効率やモチベーションの低下や、コストが発生し、経営活動の悪化につながる可能性があります。

プライバシーマークを取得した企業の数や業種

現在のプライバシーマークを取得した企業数を調べるには、一般財団法人日本情報経済社会推進協会（JIPDEC）が運営しているプライバシーマーク制度というホームページの右上にある「付与事業者」を選択し「プライバシーマーク付与事業者検索」検索することができます。

2022年12月20日現在、17,312社にプライバシーマークが付与されています。また、2022年9月30日に公表されているデータによると、主な業種別の取得業者数は以下のようになっています。

サービス業：13,158社
製造業：1,436社
卸・小売・飲食料業：958社
運輸・通信：756社

参考：一般財団法人日本情報経済社会推進協会（JIPDEC）「プライバシーマーク制度：不要の状況（2022年9月30日時点）」

このようにサービス業が取得業者数の大多数を占めています。サービス業の中で最も取得数が多いのが、情報サービス・調査業（7,076社）となっており、情報を取り扱うサービス業者が積極的にプライバシーマークを取得していることがわかります。

プライバシーマークを取得するメリット・デメリット

次に、プライバシーマークを取得するメリット・デメリットについて解説します。まず、メリットから見ていきましょう。

・セキュリティリスクを低減できる
プライバシーマークを取得するためには、個人情報保護に関する要求事項を満たしたマネジメントシステムを構築・運用しなければなりません。そのため、プライバシーマークを取得するために取り組んでいくことで、セキュリティ体制を築くことができ、情報漏えいのリスクの低減につながります。プライバシーマークの要求を満たしたから完璧というものではありませんので、さらに対策を検討する必要はあります。

・取引先や顧客からの信頼獲得
プライバシーマークは第三者機関による認証であるため、個人情報保護マネジメントシステムを構築することができたという証明になります。そのため、取引先や顧客に自社のセキュリティ水準の高さをアピールすることができるのです。

次に、デメリットにおいても確認しておきましょう。

・取得するために労力や時間がかかる
JIS（日本産業規格）が定めた「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合した体制を構築・運用することが必要になります。そのため、取得を希望してもすぐに認証を得られるわけではありません。
一般的に、準備から認証を受けられるまでに、最低でも半年はかかるものと考えておきましょう。

以下の記事でプライバシーマークを取得するメリット・デメリットの詳細を解説していますので、あわせてご覧ください。

関連記事：Pマーク（プライバシーマーク）を取得するメリットとは？

プライバシーマークを取得する手順

それでは、実際にプライバシーマークを取得するための手順について解説していきます。プライバシーマークを取得するためには、要求事項に記載されているマネジメントシステムを構築・運用したうえで、審査を受けることが必要です。

1.文書審査
8つの事項を満たす文書や日常の記録を作成します。

2.現地審査
文書審査をもとに、審査員による個人情報保護マネジメントシステムに関する質問がされ、実際の運用状況について確認されます。

3.是正処置
審査により不適合があった場合には、その指摘箇所に対して是正処置を行います。

4.取得認証
プライバシーマークの要求事項を満たしていた場合、認証が発行されます。

以下の記事で取得手順の詳細を解説していますので、あわせてご覧ください。

関連記事：Pマーク認証を取得する方法と流れを知ろう

プライバシーマーク取得後の注意点

有効期限がある

プライバシーマークには、2年間の有効期限があります。そのため、更新手続き期間に、審査機関に更新申請書類の提出や更新料がかかることに注意が必要です。会社の規模によって更新料が異なってきます。このように、定期的に更新における手間と費用がかかることは覚えておきましょう。

また、ただ更新申請を行うというものはなく、取得後にも継続的な運用をしていることが欠かせません。例えば、個人情報台帳、リスク分析表の見直しや年1回以上の従業員教育などが挙げられます。
日々の運用ができている場合には、更新のために改めて行う準備は特にありません。

定期的な従業員教育が必要

プライバシーマークを取得するために全社的に取り組んでいる最中や取得直後には、個人情報保護に対する従業員の意識は向上しているでしょう。
しかし、継続的な運用を続けていても、従業員の意識を高めていく必要があります。それは、マネジメントシステムはリスクを低減するためのツールであり、使用するのは従業員であるためです。
また、情報漏えいが発生する原因の多くがヒューマンエラーであることを考えると、漏えいリスクを防ぐためには、定期的な従業員教育が必要となります。

まとめ

プライバシーマークを取得し、個人情報保護マネジメントシステムを構築・運用することで、組織の情報セキュリティを高めることにつながります。社会的信用を高めるために、特に情報サービス業において積極的な取得が進められています。
ヒューマンエラーによる情報漏えいのリスクを低減し、継続的な改善をしていきたい場合、プライバシーマークの取得を検討してみるのはいかがでしょうか。

無料資料 | ISO27001・Pマーク導入徹底解説
『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
必須ご担当者様名
必須電話番号
任意会社名
任意メールアドレス
必須個人情報の取り扱い
下記個人情報保護方針について同意する（個人情報保護方針を読む）

ISOプロでは月額4.4万円（税込）から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4.4万円（税込）からご利用いただけます。

ISO27001、44,000円/月から作業工数ほぼ0実現！ISO新規取得・運用完全サポートならISOプロ

Pマークの新規取得、運用改善のサポート内容、スケジュールをチェック

サポート内容はこちら

Pマークの新規取得、運用改善の料金プラン・オプションをチェック

料金はこちら

この記事の監修者情報

残田康平（ ISOコンサルタント）

約5年間ISOコンサルティング会社で累計200社以上のISO構築に携わってきました。現在はISOプロのISOコンサルタントとして活動中。企業の得意・不得意を引き出しつつ、自社にピッタリなISOを構築することが得意です。これからISOに携わる人々にわかりやすい言葉で情報発信をしています。

コンサルタントとしての理念はこちら

ページタイトルとURLがコピーされました。

プライバシーマーク（Pマーク）って？取得企業数やメリットについて解説 | ISOプロ https://activation-service.jp/iso/column/7300?utm_source=urlshare

ISO取得・運用ガイド

ISOを初めて取得する方や運用中の方のお悩みを基礎知識から実際の取得・構築・運用・継続や更新についてステップ形式で解説していきます。気になる費用などの情報も満載です。

こんな方に読んでほしい

ISOを初めて取得する方
すでにISO運用中の方

自社取得、自社運用、アウトソーシングをするための基礎知識や流れをご説明します。

インタビュー

加速する業界競争で波に乗る！PCらいふパソコンレンタルサービス

人気のコラム

ISMS
全て

1
92,967view

情報セキュリティの三大要素「可用性」「機密性」「完全性」について

2
56,203view

情報資産とは？情報資産のリスク評価や洗い出しについて

3
46,035view

【初心者向け】ISMSとは？規格やISOとの違いを徹底解説

4
34,549view

ISO27001とは？認証取得のキホンと規格要求事項を徹底解説【ISO27001入門】

5
27,878view

【情報セキュリティ】「完全性」を確保するためのやるべき5つのこと

1
542,628view

【2021年6月】HACCP完全義務化！事業者がすべきこと

2
428,349view

ISOとは？ISOをわかりやすく解説【図解】

3
358,847view

ISO9001とはなにか？導入企業や他の規格との違いを徹底解説！

4
231,225view

QMS（品質管理システム）とは？わかりやすく解説

5
133,237view

ISO14001とはなにか？導入企業や他の規格との違いを徹底解説！

ISOガイド

ISO入門ガイド

ISO取得・運用ガイド

HACCP導入・運用ガイド

コラム

ISO導入企業の声

ISOプロについて