PマークとISMSの違いと取得・維持について

(1/1)
PマークとISMS
P マーク(プライバシーマーク)については「プライバシーポリシーをつくる」「会員登録時の個人情報に注意」で、ISMSについては「情報セキュリティとは」で簡単に触れました。

会社としてセキュリティ対策を行い、公にするには、どちらの認証を取得するのがいいでしょうか。両方取得するには時間もコストもかかりますので、どちらか一方を取得するのが合理的でしょう。

これから述べるように、P マークISMS を取得・維持していくには相当の費用(社内費用も含む)がかかります。そこまで投資する必要があるかどうかは、まず、経営者の方が判断してください。

PマークとISMSの違い

P マークISMS の違いを一覧表に整理しました。
項目 Pマーク ISMS
適応基準 日本国内規格
(JIS Q 15001:2017)
国際規格
(ISO/IEC 27001:2013)
日本国内規格
JIS Q 27001:2014
対象範囲 企業全体 事業所、部門、または企業全体
更新審査時に対象範囲の変更可能
対象情報 個人情報 情報資産(個人情報を含む)
要求要件 適切な個人情報の取り扱い 情報の機密性、完全性、可用性の維持
対策 合理的な安全対策 管理策(114項目)
更新 2年ごとの更新審査 3年ごとの更新審査と毎年の維持審査
取得費用
(従業員100人規模)
60~100万円 100~180万円
ランニング費用
(従業員100人規模)
更新(2年毎)50万円 維持(毎年)40~60万円
更新(3年毎)60~80万円

どちらを選択すべきか

取得費用とランニング費用で見ると P マーク の方が安価なのですが、両者の目的や範囲が異なるので、費用だけで安易に判断してはいけません。
  1. 海外拠点がある、輸出入で個人情報を扱う→国際的に通用する ISMS を取得するのが無難です。とくにヨーロッパが事業範囲に入っていると、GDPR に対応しなければなりません。
  2. 個人情報以外にも、製品設計情報、経営情報など守るべき機密情報がある→機密情報全般を対象とする ISMS を取得するのが無難です。
  3. 全社に個人情報保護を徹底させたい。→企業全体で取得する P マーク を取得するといいでしょう。
  4. 一部部署で個人情報保護を徹底させたい。→事業所、部門単位で取得する ISMS を取得するといいでしょう。

維持するのは大変

P マーク は 2 年毎の更新監査、ISMS は 3 年毎の更新監査と毎年の維持監査があり、認証機関に費用を支払って監査を受ける必要があります。
更新・維持監査は認証機関に任せっきりというものではありません。日々、社内の対象部署(P マークなら全社)が記録を残し、内部監査を行い、改善活動を継続していかなければなりません。
慣れるまでは大変な負担がかかりますし、慣れてからも、ある一定の事務作業を淡々とこなしていかなければなりません。

参考サイト

(この項おわり)
header