ISMSとPマークの違いとは?どちらの認証を取得すべきか

HACCP導入に資格は必要なのか?

「ISMSとプライバシーマーク(Pマーク)の両方を比較して、適切なものを認証取得してほしい」。情報セキュリティの認証取得を検討している企業では、上司から部下へこのように指示されるケースが多いかもしれません。ISMSとPマークは、一見すると同じような情報セキュリティ認証のように思えます。

しかし、この2つは一見似ているようで、実際は考え方や目的がまったく異なります。また、「個人情報といえばプライバシーマークではないか?」と考える人も多いのですが、必ずしもそうであるとは限りません。企業の目的によっては、個人情報の取り扱いにおいても、ISMS認証のほうが適しているケースが少なくありません。

結論としては、自社の目的に合った認証を取得すべきでしょう。そのためには、ISMSとPマークについて、それぞれの違いはしっかりと把握した上で検討しなければなりません。ここでは、ISMSとPマークの思想や規格の違い、そして対象範囲や更新管理、セキュリティ対策の違いなどについて、詳しく解説します。

思想・経緯の違い

ISMSとプライバシーマーク(Pマーク)は、そもそもの思想や成り立ちが異なります。

Pマークは個人情報保護法が発端となっており、個人情報の持ち主のプライバシーを保護するという思想です。近年では、個人情報を企業などに提供することで、有益なサービスの提供を受けることができるものが増えています。

これらの個人情報を適切に守るために、Pマークは1998年に誕生しました。そしてその翌年には、Pマークの準拠規格であるJISQ15001が制定され、この規格にもとづいて認証が行われています。

そして、ISMSは組織が保有している情報資産それぞれに、どのような脅威が存在しており、脆弱性があるのかを認識したうえでリスクを算出・軽減するための対策が目的となっています。

Pマークは、あくまでも顧客の個人情報を守るためのものですが、ISMSは自社の情報資産を守るための枠組みであり、その延長線上に顧客の個人情報の保護も含まれているのです。

このように、PマークとISMSは思想や経緯、そして目的がまったく異なっています。しかし、個人情報保護という観点からみると、結果的にどちらでも個人情報の保護が担保されているといえるでしょう。

規格の違い

ISMSとPマークでは、そもそも準拠している規格が異なります。ISMSは、国際標準規格であるISO/IEC27001にもとづいて運用されます。日本においては、日本工業規格 としてJISQ27001の規格にもとづいて運用されており、JISQ27001は、ISO/IEC27001を日本語訳したものとなっております。

そのため、ISMS認証を取得することで、国際規格に適合した企業運営を行っていると認識できます。

一方でPマークは、日本工業規格であるJISQ15001にもとづいて運用されています。個人情報保護法をベースとして生まれた規格なので、国際規格に準拠しているわけではありません。

そのため、Pマークが適用されるのは、日本国内のみとなっています。

対象(保護範囲)の違い

ISMSとPマークの対象範囲の違いとしては、「保護する情報資産の対象」と「取得可能範囲の対象」という2点に違いがあります。

ISMSでは、適用範囲内の個人情報を含む情報資産すべてが保護の対象であるのに対して、Pマークでは、企業全体における個人情報が保護の対象となります。

このように、PマークよりもISMSのほうが、企業内における保護範囲は大きなものになります。

Pマークは、あくまで個人情報の保護だけを目的としているため、その他の企業が有する情報資産の保護は対象にはなりません。

そして、取得可能範囲の対象の違いとは、企業内でISMSとPマークを適用する範囲のことをいいます。ISMSでは、企業全体での取得だけではなく、対象を限定して認証取得することが可能です。

たとえば、重要な情報を有する管理部門だけを対象範囲として、重要な情報資産を有しない部門は適用範囲から除外することができます。

しかし、Pマークは、適用範囲が企業全体に限られているため、個人情報を有していない部署でも規格に則って業務を遂行する必要があるのです。

こうした点から、ISMSのほうが会社内の負担を軽減することができるといえます。

1点、注意事項があります。ISMSを限定取得した場合、対象外の部署ではISMSのマークを掲げることができません。

名刺などに記載したい場合は、所属する部署で適用していなければならないので注意してください。

要求の違い

ISMSもPマークも、情報セキュリティに関する要求という観点でいえば、同じといえるでしょう。

しかし、求める内容はそれぞれ微妙に異なります。ISMSでは、情報資産の保護が必要ですが、そのための仕組みや管理体制を適切に行うことを要求しています。

また、要求している内容についてのアプローチ方法は企業にゆだねられており、どのような手順を経たとしても、規格に則っていれば問題ありません。

そのため、自社のスタイルに合わせて、仕組みやマニュアルなどの文書を作成することができます。

一方でPマークは、企業が保有している個人情報を確実に保護する必要があります。

個人情報を適切に保護するための規格が厳密に定められており、この規格から外れた運用をすることが認められておらず、外れた運用をしてしまうと認証を受けることができません。

つまり、Pマークの認証を受けている企業は、どの企業も同じ規格に沿って運用しているので、同じような管理方法になります。

このように、ISMSとPマークの要求を比べてみると、ISMSは仕組みや体制が重要で、比較的フレキシブルにルールを作ることができます。

一方で、Pマークは個人情報の保護が最大の目的であることから、厳密に規格が定められているため、柔軟さはないといえるでしょう。

更新の違い

ISMS、Pマークともに、認証取得をして終わりではなく、定期的な更新を行わなければなりません。ISMSでは3年ごと再認証審査、そしてPマークでは2年ごとの再認証審査が必要です。

こうしてみると、PマークよりもISMSのほうが、更新頻度が少ないように感じます。しかし、実際にはISMSは、3年ごとの再認証審査だけではなく、毎年の維持審査を受ける必要があるのです。

維持審査や更新審査と区別されているものの、実際にチェックされることに大きな違いはありません。認証機関から派遣された審査員から、運用内容について指摘されてしまうと、その都度是正対応をしないといけません。

そういった意味では、Pマークは2年ごとの更新審査となるので負担が少ないような気がするでしょう。

しかし、2年ごとの更新審査の際には、前回の更新審査以降の管理状況や運用状況について審査が行われます。

一方で、ISMSでは実質毎年審査が行われているので、審査が行われる期間は短くなるでしょう。そのため、更新期間については、ISMSとPマークでは異なるものの、企業が負うことになる負担としては、さほど大きな違いはないと考えられます。

相互認証の違い

相互認証とは、規格だけではなく、基準認証制度についても相互で認証を行うことをいいます。

これによって、自国で認証を受けた結果が他の国でも認められるのです。 相互認証では、複数の認証を受ける手間が省けるというメリットがあります。

ISMSでは、IFAに加盟している数十か国の認定機関で相互認証が行われています。

一方、Pマークは国際規格ではないものの、中国の大連市におけるソフトウェア産業協会のPIPA制度と相互認証を行っています。

セキュリティ対策の違い

ISMSには、適切なマネジメントシステムを構築するための、具体的な114の管理策があります。

この中から、企業規模や保有している情報資産、そして費用対効果などを勘案したうえで、必要な管理策を選択していくこととなるのです。

企業の実態に沿った管理策を適用できるので、場合によっては社内での作業負担を極力抑えながらもISMS認証の取得ができるケースもあるでしょう。

一方Pマークでは、企業の実態に沿った個人情報保護のためのセキュリティ対策を講じる必要があります。ISMSと同じように思えますが、すでに設けられている手順に沿った運用が必要となります。

たとえば、Pマークにおいては、個人情報を取得する際に、同意書の取得が必要不可欠ですし、何に利用するのかを同意書に明確に記載しなければなりません。

しかし、ISMSでは個人情報を取得する際には、もっと柔軟に対応することができます。

このように、セキュリティ対策としてはISMSとPマークはまったく異なっており、ISMSのほうが柔軟な対策を講じることができます。

しかし、対策法が指定されているPマークは、取得の際検討の必要がなく、指示された対策を運用するだけで構わないと捉えることもできるでしょう。

結局、どちらを取得すべきなのか?

ここまでご紹介してきたように、ISMSとPマークは似ているようにまったく違う認証制度といえます。

ISMSは、企業が持つ情報資産を守るための仕組みや運用体制を構築することを目的としており、Pマークは顧客の個人情報を保護することを目的としている認証制度です。

同じ情報資産を守るための制度といっても、ベクトルが180度違っています。

また、ISMSはISO/IEC27001、JISQ27001という国際規格にもとづいて運用されており、PマークはJISQ15001という日本規格にもとづいて運用されています。

その他にも、保護対象、要求、更新、セキュリティ対策など、それぞれに特徴を持って管理運用されています。

ISMSとPマーク、どちらを運用したほうがいいか悩んでいる方は、ここで紹介したような情報を踏まえたうえで、導入を検討したほうがいいでしょう。また、両方の認証を取得する企業も少なくありません。

一般的には、BtoCなど顧客の個人情報を多く取得して事業を行う企業についてはPマーク。そして外部からの情報処理により個人情報を預かるケースの多いBtoB企業に関してはISMSがおすすめです。

また、個人情報に限らず、企業が保有するさまざまな情報資産を適切に管理したいのであれば、ISMSをおすすめします。

なぜなら、Pマークは、あくまでも企業が保有するすべての個人情報に適用されるもので、その他の情報資産については適用対象ではないからです。企業の根底に関係するものとなるので、最終決定をする際には、経営者も交えて意思決定をするようにしましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事