PマークとISMSの違い
Pマークと ISMS の違いを一覧表に整理しました。
| 項目 | Pマーク | ISMS |
|---|---|---|
| 適応基準 | 日本国内規格 (JIS Q 15001:2017) |
国際規格 (ISO/IEC 27001:2013) 日本国内規格 JIS Q 27001:2014 |
| 対象範囲 | 企業全体 | 事業所、部門、または企業全体 更新審査時に対象範囲の変更可能 |
| 対象情報 | 個人情報 | 情報資産(個人情報を含む) |
| 要求要件 | 適切な個人情報の取り扱い | 情報の機密性、完全性、可用性の維持 |
| 対策 | 合理的な安全対策 | 管理策(114項目) |
| 更新 | 2年ごとの更新審査 | 3年ごとの更新審査と毎年の維持審査 |
| 取得費用 (従業員100人規模) |
60~100万円 | 100~180万円 |
| ランニング費用 (従業員100人規模) |
更新(2年毎)50万円 | 維持(毎年)40~60万円 更新(3年毎)60~80万円 |
どちらを選択すべきか
取得費用とランニング費用で見ると Pマーク の方が安価なのですが、両者の目的や範囲が異なるので、費用だけで安易に判断してはいけません。
- 海外拠点がある、輸出入で個人情報を扱う→国際的に通用する ISMS を取得するのが無難です。とくにヨーロッパが事業範囲に入っていると、GDPR に対応しなければなりません。
- 個人情報以外にも、製品設計情報、経営情報など守るべき機密情報がある→機密情報全般を対象とする ISMS を取得するのが無難です。
- 全社に個人情報保護を徹底させたい。→企業全体で取得する Pマーク を取得するといいでしょう。
- 一部部署で個人情報保護を徹底させたい。→事業所、部門単位で取得する ISMS を取得するといいでしょう。
維持するのは大変
Pマーク は2年毎の更新監査、ISMS は3年毎の更新監査と毎年の維持監査があり、認証機関に費用を支払って監査を受ける必要があります。
更新・維持監査は認証機関に任せっきりというものではありません。日々、社内の対象部署(Pマークなら全社)が記録を残し、内部監査を行い、改善活動を継続していかなければなりません。
慣れるまでは大変な負担がかかりますし、慣れてからも、ある一定の事務作業を淡々とこなしていかなければなりません。
更新・維持監査は認証機関に任せっきりというものではありません。日々、社内の対象部署(Pマークなら全社)が記録を残し、内部監査を行い、改善活動を継続していかなければなりません。
慣れるまでは大変な負担がかかりますし、慣れてからも、ある一定の事務作業を淡々とこなしていかなければなりません。
参考サイト
- プライバシーマーク制度:JIPDEC
- 情報マネジメントシステム認定センター(ISMS)
- プライバシーポリシーをつくる:ぱふぅ家のホームページ
- 会員登録時の個人情報に注意:ぱふぅ家のホームページ
- 情報セキュリティとは:ぱふぅ家のホームページ
(この項おわり)
会社としてセキュリティ対策を行い、公にするには、どちらの認証を取得するのがいいでしょうか。両方取得するには時間もコストもかかりますので、どちらか一方を取得するのが合理的でしょう。
これから述べるように、Pマーク や ISMS を取得・維持していくには相当の費用(社内費用も含む)がかかります。そこまで投資する必要があるかどうかは、まず、経営者の方が判断してください。