ISMSとPマークはどちらを取得すべき?違いをわかりやすく解説
- ISMSは全ての情報資産に適用され、Pマークは個人情報のみの適用
- ISMSは国際規格に対し、Pマークは日本国内のみ有効で国際規格でない
- ISMSでは3年ごとに更新審査、毎年の維持更新があり、Pマークでは2年ごとの更新審査が必要
ISMSとプライバシーマーク(Pマーク)は、情報セキュリティに関する規格で一見同じように思いますが、実際は考え方や目的、対象範囲が全く異なります。
情報セキュリティ体制を強化するためにISMS認証とPマークのどちらかの取得を検討している企業は、ISMS認証とPマークの違いを理解することは非常に大切です。
そこで、この記事はISMSとPマークの違いやどちらを取得すべきかについて解説します。
目次
ISMSとは?
ISMS(Information Security Management System)とは、企業や組織が保持する情報を守る情報セキュリティマネジメントシステムのことです。
企業や組織の情報資産が流出するリスクを抑える対策を行いつつ、情報を利用しやすい状態にし、適切に管理する体制を築くことを指します。
ISMSを取得している企業は、IT系企業、人材派遣業、金融業など多くの情報資産を取り扱う業種が多くなっています。
また認証制度としては、ISO27001があります。
Pマークとは?
Pマーク(プライバシーマーク)とは、日本国内で有効な個人情報保護に関する認証制度です。
個人情報を適切に管理し、漏洩・滅失・棄損などのリスクから保護する体制を取っていることを証明できます。
Pマークを取得している企業は、サービス業、卸売業、小売業など消費者との距離が近い業種が多くなっています。
【概要】ISMSとPマークの6つの違い
ISMSとPマークは、どちらも情報を保護し、適切に管理することは共通していますが、以下の大部分で異なっています。取得を検討している企業は、違いを把握したうえで、どちらを取得するか検討しましょう。
思想・成り立ちの違い
ISMSとPマークは、そもそもの思想や成り立ちが異なります。
ISMSは組織が保有している情報資産それぞれに、どのような脅威が存在し、脆弱性があるのかを認識したうえでリスクを算出・低減するための対策が目的となっています。
一方、Pマークは個人情報保護法が発端となっており、個人情報の持ち主のプライバシーを保護するという考えがベースにあります。
近年では、個人情報を企業などに提供することで、有益なサービスの提供を受けられるものが増えています。これらの個人情報を適切に守るために、Pマークは1998年に誕生しました。
また、Pマークでは「漏洩・滅失・棄損」のリスク軽減を重視している一方、ISMSでは「機密性・完全性・可用性」のバランスを意識しているため、必ずしも個人情報の保護を目指すわけではないというところも異なります。
発行団体の違い
ISMSとPマークでは、そもそも準拠している規格が異なります。
ISMSは、国際標準規格であるISO/IEC27001にもとづいて運用されます。日本においては、日本工業規格としてJISQ27001の規格にもとづいて運用されており、JISQ27001は、ISO/IEC27001を日本語訳したものとなっております。
そのため、ISMS認証を取得することで、国際規格に適合した企業運営を行っていると認識できます。
一方でPマークは、日本工業規格であるJISQ15001にもとづいて運用されています。個人情報保護法をベースとして生まれた規格のため、国際規格に準拠しているわけではありません。そのため、Pマークが適用されるのは、日本国内のみです、
対象範囲の違い
ISMSとPマークの対象範囲の違いとしては、「保護する情報資産の対象」と「取得可能範囲」という2点に違いがあります。
保護する情報資産の対象
ISMSでは、個人情報を含む情報資産に対するリスク対応が対象です。一方、Pマークでは、企業全体における個人情報が保護の対象となります。
このようにPマークよりもISMSの方が、企業内における保護範囲は広くなります。Pマークは、あくまで個人情報の保護だけを目的としているため、その他の企業が有する情報資産の保護は対象にはなりません。
取得可能範囲の違い
ISMSでは、企業全体での取得だけではなく、対象を限定して認証取得することが可能です。
例えば、重要な情報を有する管理部門だけを対象範囲として、重要な情報資産を有しない部門は適用範囲から除外できます。
一方、Pマークは適用範囲が企業全体になっています。個人情報を有していない部署でも規格に則って業務を遂行する必要があるのです。
こうした点から、ISMSの方が会社内の負担を軽減できるといえます。
ただし、ISMSを限定取得した場合、対象外の部署ではISMSのマークを掲げられない点には注意が必要です。
要求の違い
ISMSもPマークも、情報セキュリティに関する要求という観点でいえば、同じといえるでしょう。しかし、求める内容はそれぞれ微妙に異なります。
ISMSでは、情報資産に対するリスク対応が必要ですが、そのための仕組みや管理体制を適切に行うことを要求しています。
また、要求事項に対するアプローチ方法は企業に委ねられているため、どのような手順を経たとしても、規格に則っていれば問題ありません。
そのため、自社のスタイルに合わせた仕組みやマニュアルなどの文書を作成できます。
一方でPマークは、企業が保有している個人情報を確実に保護する必要があります。
個人情報を適切に保護するための規格が厳密に定められており、この規格から外れた運用をすることが認められていません。
つまり、Pマークの認証を受けている企業は、どの企業も同じ規格に沿って運用しているので、同じような管理方法になります。
このように、ISMSとPマークの要求を比べてみると、ISMSは仕組みや体制が重要で、比較的フレキシブルにルールを作成できます。
一方で、Pマークは個人情報の保護が最大の目的であることから、厳密に規格が定められているため、柔軟性は低いといえるでしょう。
相互認証の違い
相互認証とは、規格だけではなく基準認証制度についても相互で認証を行うことをいいます。
これによって、自国で認証を受けた結果が他の国でも認められるのです。相互認証では、複数の認証を受ける手間が省けるというメリットがあります。
ISMSでは、IAFに加盟している数十か国の認定機関で相互認証が行われています。
一方、Pマークは国際規格ではないものの、中国の大連市におけるソフトウェア産業協会のPIPA制度と相互認証を行っています。
セキュリティ対策の違い
ISMSには、適切なマネジメントシステムを構築するための、具体的な93の管理策があります。
この中から、企業規模や保有している情報資産、そして費用対効果などを勘案したうえで、必要な管理策を選択していくこととなるのです。
一方Pマークでは、企業の実態に沿った個人情報保護のためのセキュリティ対策を行う必要があります。ISMSと同じように思えますが、既に設けられている手順に沿った運用が必要となります。
例えば、Pマークでは個人情報を取得する際に、同意書の取得が必要不可欠ですし、何に利用するのかを同意書に明確に記載しなければなりません。しかし、ISMSでは個人情報を取得する際には、自社の体制に合わせて柔軟に対応できます。
このように、セキュリティ対策としてはISMSとPマークは全く異なっており、ISMSの方が柔軟な対策を講じることが可能です。しかし、対策方法が指定されているPマークは、取得の際に検討の必要がなく、指示された対策を運用するだけで構わないと捉えられるでしょう。
【その他】ISMSとPマークの2つの違い
制度そのもの以外にも、ISMSとPマークには違いがあります。ここでは、取得前に知っておきたいISMSとPマークの3つの違いを解説します。
取得審査の費用の違い
運営している団体が異なるため、審査費用も異なります。それぞれの取得審査における費用相場を紹介します。
まず、ISMSの取得審査の費用を以下にまとめました。ISMS認証の場合、一般的な相場は50~100万円程度と考えておくと良いでしょう。
| 業種 | 1-20名 | 21-50名 | 51-100名 | 101名以上 |
|---|---|---|---|---|
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| WEB制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産 | 62万円 | – | 97万円 | 113万円 |
※2022年7月調査(ISOプロ調べ)。現在の費用と異なる可能性があるため詳しくはお問合せください。
Pマークの取得審査の費用には、申請料・審査料・付与登録料があります。それぞれの価格と合計金額を以下にまとめました。
| 種別 | 事業規模 | ||
|---|---|---|---|
| 小規模 | 中規模 | 大規模 | |
| 申請料 | 52,382円 | 52,382円 | 52,382円 |
| 審査料 | 209,524円 | 471,429円 | 995,238円 |
| 付与登録料 | 52,382円 | 104,762円 | 209,524円 |
| 合計 | 314,288円 | 628,573円 | 1,257,144円 |
更新審査の頻度の違い
ISMS、Pマークともに、認証取得をして終わりではなく、定期的な更新を行わなければなりません。ISMSは3年ごと、Pマークは2年ごとに更新審査を受けることが必要です。
またISMSは、3年ごとの更新審査だけではなく、毎年の維持審査を受けることが求められます。維持審査では、前回審査以降の1年分の運用を、更新審査では認証後(更新後)の3年分の運用を確認されます。
そのため、ISMSでは実質毎年審査が行われているので、審査が行われる期間は短くなります。
一方、Pマークは2年ごとの更新審査の際には、前回の更新審査以降の管理状況や運用状況について審査が行われます。そのため、更新審査の回数はISMSよりも少ないものの、審査の度に2年分の振り返りが必要です。
そのため、更新審査の頻度についてはISMSとPマークでは異なるものの、審査にかかる負担としては、さほど大きな違いはないと考えられます。
ISMSとPマークのどちらを取得すべきか
ここまで、ISMSとPマークの違いを解説してきましたが、どちらを取得すべきなのでしょうか。
ISMSとPマークは、同じ情報資産を守るための制度といっても、ベクトルが180度異なります。情報漏えいや不正アクセスなどの情報セキュリティリスクが問題視されている現代において、情報セキュリティ管理は、企業経営において非常に重要な要素です。そのため、取得の最終決定をする際には、経営者も交えて意思決定することがおすすめです。
また、ISMSとPマークの両方を取得する企業も少なくありません。自社の特徴を良く理解したうえで取得を検討してください。
ISMSの取得がおすすめの企業の特徴
ISMSの取得がおすすめの企業の特徴を以下にまとめました。
- 外部からの情報処理により個人情報を預かるケースの多いBtoB企業
- 個人情報に限らず、企業が保有するさまざまな情報資産を適切に管理したい企業
- 国際的な貿易をしている、もしくは今後国際進出を目指している企業
また、実際に取得している企業によく見られる特徴も以下にまとめました。
- 100人以上の大手企業
- 自治体と取引している企業
- 情報技術業や金融業などの業種
Pマークの取得がおすすめの企業の特徴
Pマークの取得がおすすめの企業の特徴を以下にまとめました。
- 顧客の個人情報を多く取得するBtoC取引を行う企業
- 個人情報の保護に特化して体制を構築したい企業
- 現在も今後も、国際進出の予定がなく国内のみで事業を行う企業
また、実際に取得している企業によく見られる特徴も以下にまとめました。
- サービス業
- 自治体と取引している企業
- 大手企業との取引を行っている企業
まとめ
この記事では、ISMSとPマークの違いをわかりやすく説明。また、両者のうちどちらを取得すべきかについて、それぞれの規格の取得がおすすめの企業の特徴を解説しました。
ISMSは国際規格であり、情報セキュリティ全般を対象としています。一方、Pマークは国内のみに有効な規格であり、個人情報保護に特化しています。このようにISMSとPマーク「情報セキュリティ」を掲げる規格ではあるのもの、思想や対象範囲、要求までさまざまなところが異なります。
また、更新頻度や取得費用の違いなどは実際に取得し、運用した際に影響してくるため、両者の違いを把握し慎重に選択することがおすすめです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい