PマークとISO27001取得するならどっちがいい?6つの項目を比較

iso-pro-course_09

昨今のネットワークの発達による情報化社会に伴い、情報保護に関するマネジメントシステムの認証取得を検討している企業が増えてきています。

そんなマネジメントシステムの取得を考えた際に、ISO27001(ISMS認証)とプライバシーマーク(Pマーク)は一体何が違うの?どちらを取得したほうがいいの?といったような疑問を多くの企業が抱えているようです。

そこで今回は、多くの企業が疑問に思う、ISMSとPマークの違いについて、6つの観点から比較していきましょう。

①規格の違い

よく、ISO27001(ISMS認証)とプライバシーマーク(Pマーク)は同じ規格と認識していたり、Pマークの発展形がISMSであると認識していたりする方がいらっしゃいますが、この2つ規格は全く別の規格です。

まずISMSは、別名ISO27001という名称からもわかるように、日本独自の規格ではなく国際標準規格になります。つまりISMSを取得することは、日本国内のみならず海外にも通用するのです。

一方で、Pマークは日本工業規格JISQ15001のみで、国際規格ではなく、日本独自の規格になります。国外の相互承認団体があるとは言え、Pマークはあくまで国内を拠点にしている企業を対象とした規格なのです。

そのため、自分たちの会社の拠点が国内だけなのか、海外にも拠点があるのかといったことがどちらを取得するかの判断基準の1つとなるでしょう。

②対象の違い

続いて挙げられるのは、規格の対象の違いです。ISO27001(ISMS認証)は適用範囲内の個人情報を含めた情報資産すべての保護を対象としています。

一方でプライバシーマーク(Pマーク)は企業全体の個人情報のみが保護の対象です。そのため、顧客の名前や住所といった個人情報はISMSとPマークどちらも保護の対象としていますが、企業の財務情報や仕事のマニュアルといったような個人情報以外の情報も保護対象となるのはISMSのみになります。

自分たちの会社が保護したい情報が個人情報だけなのか、個人情報以外の情報の保護もしたいのかといった点も、取得の判断基準の1つになりそうですね。

③取得可能範囲

3つ目は、取得可能範囲の違いです。

ISO27001(ISMS認証)は、その規格の適用範囲を企業全体だけでなく、1つの部署や支店に限定することが出来ます。そのため、機密情報をあまり取り扱わない部署などを省いて取得するといったような、ある程度の自由が効くのです。

一方で、プライバシーマーク(Pマーク)の適用範囲は企業全体と規格で決められています。そのため、ISMSとは違い、たとえ個人情報に関してあまり取り扱わない支店や部署があったとしても、Pマークの対象からは外すことが出来ません。

④要求の違い

ISO27001(ISMS認証)とプライバシーマーク(Pマーク)、2つの規格は全く別物であることは先に述べたとおり。つまり、規格の要求事項についても違いがあります。

まずISMSは、仕組みづくりや体制づくりが求められていますが、手順については決められておらず、取得する企業に合わせてルールや文書を作成することが出来ます。

一方、Pマークでは個人情報を保護するための手順や作成する文書が規格によって決められています。そのため、それらをすべて守る必要があり、Pマークを取得した企業はたとえ大企業であっても中小企業であっても、そのルールや文書に大きな違いはありません。

⑤セキュリティ対策の違い

5つ目に挙げる違いは、セキュリティ対策の違いです。

先程も触れたように、プライバシーマーク(Pマーク)はその手順についてはすべて画一的に決められています。そのため、セキュリティ対策についても合理的な安全対策のための手順も決まっています。たとえば、事務所玄関やサーバー室などセキュリティを保つべき場所に対して入退室管理をしなければならない、といったようなことです。

一方でISO27001(ISMS)認証は、セキュリティ対策に関してもある程度の自由があります。ISMSの規格の中では、114の具体的な管理策から組織の規模、保有する情報資産、費用対効果などを考慮しながら選択することが出来ます。そのため、セキュリティ対策に関しても企業毎で内容は大きく変わってくるのです。

⑥審査の違いとそれに伴う費用の違い

最後に挙げる違いは、審査の違いとそれに伴う費用の違いです。

まず、ISO27001(ISMS認証)とプライバシーマーク(Pマーク)で審査の種類や頻度が違います。Pマークは取得審査後、2年に1度の更新審査があります。一方でISMSは取得審査後、3年に1回の更新審査とそれ以外の年は毎年維持審査を受ける必要があります。

また、Pマークは原則、審査機関を選ぶことが出来ず、登記簿上の本社所在地を管轄する審査機関にしか申請ができません。ただし、取得時や更新時の審査費用は企業の規模によって変りますが、費用は一律で決められており、審査機関によっての違いはありません。中規模の会社であれば、認証取得の審査で約60万円、更新審査で約45万円の費用がかかることになります。

その一方でISMS認証は審査機関を選択することが出来、審査機関によって審査費用が変わってきます。そのため、複数の審査機関に見積もりを取り、金額等を考慮して審査機関を選択することが可能です。その費用は審査機関や取得する企業の規模によって変わりますが、取得審査で50万円~100万円、維持審査は認証登録時の約3割、更新審査は登録時の約6~7割の料金が発生することになります。

認証取得の難易度に関して大きな違いはない

さて、ここまで6つの項目からISO27001(ISMS認証)とプライバシーマーク(Pマーク)の違いについて解説してきましたが、もう1点、認証取得の際に気になる項目があるのではないでしょうか?

そうです、ISMSとPマークで認証取得の難易度に差があるかどうかですね。結論から言うと、基本的には取得難易度自体には大きな差はありません。Pマークでは先程も触れたように作成文書や手順が決められており、決めごとが多いため時間はかかりますが、それを守りさえすれば認証の取得ができます。ただし、業界によっては審査が厳しい場合もあるので要注意です。

一方のISMSでは、その企業の規模や情報資産に対する重要性に合わせてセキュリティ対策を選択することが出来、更には適用範囲も限定することが出来るため、認証取得だけを目的とするのであれば、そこまで難しくありません。

また、取得難易度に関して不安がある場合は、コンサルティング会社に依頼してみることを検討してもいいかもしれませんね。

2つの規格の違いから自分たちに合ったものを取得しよう

ここまでを簡単にまとめると、プライバシーマーク(Pマーク)の取得に向いている企業は、対個人向けサービスや販売を行っているような個人情報を多く取り扱うBtoCの企業や日本国内を拠点においている企業など。ISO27001(ISMS認証)の取得に向いているのは、個人情報以外の資産情報を管理したい企業やBtoBの企業、国外企業と取引がある場合や海外拠点を保有している企業などです。

もちろん、ISMSとPマークどちらかだけでなく、どちらも取得する企業も多くありますので、上のまとめは一概ではありません。しっかりと自分たちの企業がどんな情報を保護していきたいのか、どういった対策を取り、運用していきたいのかを考慮して、取得を検討してくださいね。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事