ISMSとPマーク(プライバシーマーク)の7つの違いを解説
- ISMSは全ての情報資産に適用され、Pマークは個人情報のみの適用
- ISMSは国際規格に対し、Pマークは日本国のみで国際規格でない
- ISMSはどのような手順を経たとしても、規格に則っていれば問題ないが、Pマークは規格が厳密に定められており、この規格から外れた運用をすることが認められていない
- ISMSでは3年ごとに更新審査、毎年の維持更新があり、Pマークでは2年ごとの更新審査が必要
ISMS
はどのような手順を経たとしても、規格に則っていれば問題ないが、Pマークは規格が厳密に定められており、この規格から外れた運用をすることが認められていない
ISMSでは3年ごとに更新審査、毎年の維持更新があり、Pマークでは2年ごとの更新審査が必要
ISMS とプライバシーマーク(Pマーク)は、情報セキュリティに関する規格で一見同じように思いますが、実際は考え方や目的が全く異なります。
Pマークは『個人情報保護マネジメントシステム』の略称なので、保護対象である情報は“個人情報”になります。
一方、ISMSは『情報セキュリティマネジメントシステム』の略称で“情報資産”と呼ばれる資産の価値がある情報であり、事業者の財務情報や人事情報、技術情報はもちろん、個人情報も含まれます。
このように守るべき情報の範囲が違うため、自社に合った
認証
取得をするべきでしょう。
今回の記事はISMSとPマークの7つの違いについて解説していきます。
ISMSとは?
ISMS(Information Security Management System)とは、企業や組織の保持する情報を守る情報セキュリティマネジメントシステムのことです。
企業や組織の情報資産が流出するリスクを抑える対策を行いつつ、情報を利用しやすい状態にし、適切に管理する体制を築くことを指します。
ISMSを取得している企業は、IT系企業、人材派遣業、金融業など多くの情報資産を取り扱う業種が多くなっています。
Pマークとは?
Pマーク(プライバシーマーク)とは、日本国内で有効な個人情報保護に関するマネジメントシステムのことです。
個人情報を適切に管理し、漏洩・滅失・棄損などのリスクから保護する体制を取っていることを証明するための認証制度になります。
Pマークを取得している企業は、サービス業、卸売業、小売業など消費者との距離が近い業種が多くなっています。
ISMSとPマークの違いとは?
ISMSとPマークは、どちらも情報を保護し、適切に管理することは共通していますが、以下の大部分で異なっています。取得を検討している企業は、違いを把握したうえで、どちらを取得するか検討しましょう。
思想・経緯の違い
ISMSとプライバシーマーク(Pマーク)は、そもそもの思想や成り立ちが異なります。
Pマークは個人情報保護法が発端となっており、個人情報の持ち主のプライバシーを保護するという思想です。近年では、個人情報を企業などに提供することで、有益なサービスの提供を受けることができるものが増えています。
これらの個人情報を適切に守るために、Pマークは1998年に誕生しました。そしてその翌年には、Pマークの準拠規格であるJISQ15001が制定され、この規格にもとづいて認証が行われています。
反対に、ISMSは組織が保有している情報資産それぞれに、どのような脅威
が存在しており、脆弱性があるのかを認識したうえでリスクを算出・軽減するための対策が目的となっています。
Pマークは、あくまでも顧客の個人情報を守るためのものですが、ISMSは自社の情報資産を守るための枠組みであり、その延長線上に顧客の個人情報の保護も含まれているのです。
このように、PマークとISMSは思想や経緯、そして目的がまったく異なっています。しかし、個人情報保護という観点からみると、結果的にどちらでも個人情報の保護が担保されているといえるでしょう。
特にISMSでは、漏洩・滅失・棄損ではなく、機密性
・完全性
・可用性のバランスを意識したものとなるため、必ずしも個人情報の保護を目指すわけではないというところも大切になります。
規格の違い
ISMSとPマークでは、そもそも準拠している規格が異なります。ISMSは、国際標準規格であるISO
/IEC27001にもとづいて運用されます。日本においては、日本工業規格 としてJISQ27001の規格にもとづいて運用されており、JISQ27001は、ISO/IEC27001を日本語訳したものとなっております。
そのため、ISMS認証を取得することで、国際規格に適合した企業運営を行っていると認識できます。
一方でPマークは、日本工業規格であるJISQ15001にもとづいて運用されています。個人情報保護法をベースとして生まれた規格なので、国際規格に準拠しているわけではありません。そのため、Pマークが適用されるのは、日本国内のみとなっています。
対象(保護範囲)の違い
ISMSとPマークの対象範囲の違いとしては、「保護する情報資産の対象」と「取得可能範囲の対象」という2点に違いがあります。
ISMSでは、(1部署のみ等、企業が自由に設定可能)の個人情報を含む情報資産に対するリスク対応が対象であるのに対して、Pマークでは、企業全体における個人情報が保護の対象となります。このように、PマークよりもISMSのほうが、企業内における保護範囲は大きなものになります。
Pマークは、あくまで個人情報の保護だけを目的としているため、その他の企業が有する情報資産の保護は対象にはなりません。
そして、取得可能範囲の対象の違いとは、企業内でISMSとPマークを適用する範囲のことをいいます。ISMSでは、企業全体での取得だけではなく、対象を限定して認証取得することが可能です。
たとえば、重要な情報を有する管理部門だけを対象範囲として、重要な情報資産を有しない部門は適用範囲から除外することができます。
しかし、Pマークは、適用範囲が企業全体に限られているため、個人情報を有していない部署でも規格に則って業務を遂行する必要があるのです。
こうした点から、ISMSのほうが会社内の負担を軽減することができるといえます。
1点、注意事項があります。ISMSを限定取得した場合、対象外の部署ではISMSのマークを掲げることができません。名刺などに記載したい場合は、所属する部署で適用していなければならないので注意してください。
要求の違い
ISMSもPマークも、情報セキュリティに関する要求という観点でいえば、同じといえるでしょう。
しかし、求める内容はそれぞれ微妙に異なります。ISMSでは、情報資産に対するリスク対応が必要ですが、そのための仕組みや管理体制を適切に行うことを要求しています。
また、要求している内容についてのアプローチ方法は企業にゆだねられており、どのような手順を経たとしても、規格に則っていれば問題ありません。
そのため、自社のスタイルに合わせて、仕組みやマニュアルなどの文書を作成することができます。
一方でPマークは、企業が保有している個人情報を確実に保護する必要があります。
個人情報を適切に保護するための規格が厳密に定められており、この規格から外れた運用をすることが認められておらず、外れた運用をしてしまうと認証を受けることができません。
つまり、Pマークの認証を受けている企業は、どの企業も同じ規格に沿って運用しているので、同じような管理方法になります。
このように、ISMSとPマークの要求を比べてみると、ISMSは仕組みや体制が重要で、比較的フレキシブルにルールを作ることができます。
一方で、Pマークは個人情報の保護が最大の目的であることから、厳密に規格が定められているため、柔軟さはないといえるでしょう。
更新の違い
ISMS、Pマークともに、認証取得をして終わりではなく、定期的な更新を行わなければなりません。ISMSでは3年ごと更新審査、そしてPマークでは2年ごとの更新審査が必要です。
こうしてみると、PマークよりもISMSのほうが、更新頻度が少ないように感じます。しかし、実際にはISMSは、3年ごとの更新審査だけではなく、毎年の維持審査を受ける必要があるのです。
維持審査では、前回審査以降の1年分の運用が確認され、更新審査では認証後(更新後)の3年分の運用を確認されます。認証機関から派遣された審査員から、運用内容について不適合が出ると、その都度是正対応をしないといけません。そういった意味では、Pマークは2年ごとの更新審査となるので負担が少ないような気がするでしょう。
しかし、2年ごとの更新審査の際には、前回の更新審査以降の管理状況や運用状況について審査が行われます。
一方で、ISMSでは実質毎年審査が行われているので、審査が行われる期間は短くなるでしょう。そのため、更新期間については、ISMSとPマークでは異なるものの、企業が負うことになる負担としては、さほど大きな違いはないと考えられます。
相互認証の違い
相互認証とは、規格だけではなく、基準認証制度についても相互で認証を行うことをいいます。
これによって、自国で認証を受けた結果が他の国でも認められるのです。 相互認証では、複数の認証を受ける手間が省けるというメリットがあります。
ISMSでは、IAFに加盟している数十か国の認定 機関で相互認証が行われています。
一方、Pマークは国際規格ではないものの、中国の大連市におけるソフトウェア産業協会のPIPA制度と相互認証を行っています。
セキュリティ対策の違い
ISMSには、適切なマネジメントシステムを構築するための、具体的な114の管理策があります。
この中から、企業規模や保有している情報資産、そして費用対効果などを勘案したうえで、必要な管理策を選択していくこととなるのです。
企業の実態に沿った管理策を適用できるので、場合によっては社内での作業負担を極力抑えながらもISMS認証の取得ができるケースもあるでしょう。
一方Pマークでは、企業の実態に沿った個人情報保護のためのセキュリティ対策を講じる必要があります。ISMSと同じように思えますが、すでに設けられている手順に沿った運用が必要となります。
たとえば、Pマークにおいては、個人情報を取得する際に、同意書の取得が必要不可欠ですし、何に利用するのかを同意書に明確に記載しなければなりません。しかし、ISMSでは個人情報を取得する際には、もっと柔軟に対応することができます。
このように、セキュリティ対策としてはISMSとPマークはまったく異なっており、ISMSのほうが柔軟な対策を講じることができます。
しかし、対策法が指定されているPマークは、取得の際検討の必要がなく、指示された対策を運用するだけで構わないと捉えることもできるでしょう。
結局、どちらを取得すべきなのか?
ここまでご紹介してきたように、ISMSとPマークは似ているようにまったく違う認証制度といえます。
ISMSは、企業が持つ情報資産に対するリスク対応を実行するための仕組みや運用体制を構築することを目的としており、Pマークは顧客の個人情報を保護することを目的としている認証制度です。
ISMSでは、「機密性 」「完全性 」「可用性」の視点でリスク評価 を行い、対策を進めていく必要があります。例えば、「ローカルPCにデータ保存しているため、社内で共有しづらい。そのため、クラウドサービスを導入し、情報共有を簡単に行えるようにしよう。」など情報を使いやすくすることもマネジメントシステムの目的として適しています。
Pマークでは、「漏洩」「滅失」「毀損」の視点でリスク評価を行い、対策を進めていく必要があります。個人情報保護法で定められた以上の、個人情報保護の対策を打つことになり、ISMSとは根本の考え方に違いがあります。
同じ情報資産を守るための制度といっても、ベクトルが180度違っています。
また、ISMSはISO/IEC27001、JISQ27001という国際規格にもとづいて運用されており、PマークはJISQ15001という日本規格にもとづいて運用されています。その他にも、保護対象、要求、更新、セキュリティ対策など、それぞれに特徴を持って管理運用されています。
ISMSとPマーク、どちらを運用したほうがいいか悩んでいる方は、ここで紹介したような情報を踏まえたうえで、導入を検討したほうがいいでしょう。また、両方の認証を取得する企業も少なくありません。一般的には、BtoCなど顧客の個人情報を多く取得して事業を行う企業についてはPマーク。そして外部からの情報処理により個人情報を預かるケースの多いBtoB企業に関してはISMSがおすすめです。また、個人情報に限らず、企業が保有するさまざまな情報資産を適切に管理したいのであれば、ISMSをおすすめします。
なぜなら、Pマークは、あくまでも企業が保有するすべての個人情報に適用されるもので、その他の情報資産については適用対象ではないからです。企業の根底に関係するものとなるので、最終決定をする際には、経営者も交えて意思決定をするようにしましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい