ISMS
基本知識
ISMSとISO27001とPマークのどれを取得すべき?違いを分かりやすく解説
1.ISMS、ISO27001、Pマークの違い
企業や団体の情報セキュリティマネジメントを行う上で、広く利用されている認証制度を活用することは、自社の信用度を高めるのに役立ちます。
この分野における認証制度についてはいくつかの用語が使われていて、時に混同してしまうことがあります。
そこで、聞くことが多い「ISMS」「ISO27001」「Pマーク」について、どんなものなのか、違いは何かを理解しておきましょう。
| 仕組み | 認証制度/規格 | ||
|---|---|---|---|
| 項目 | ISMS | ISO/IEC 27001 | プライバシーマーク(Pマーク) |
| 概要 | 情報セキュリティマネジメントシステム | ISMS国際規格 | 個人情報保護の国内規格 |
| 目的 | 情報セキュリティ事故リスクの低減 | 国際的なセキュリティ水準の実証 | 個人情報保護法への適合性と信頼性向上 |
| 対象範囲 | 情報資産を保有する組織 | 情報資産を保有する組織 | 個人情報を扱う事業者 |
| 取得メリット | セキュリティ対策強化、信頼性向上、事業継続性向上 | 国際的信頼、競争優位、リスク管理体制強化 | 信頼獲得、コンプライアンス遵守、リスク低減 |
| 認証取得基準 | ISO/IEC 27001等に基づく | ISO/IEC 27001に適合 | JIS Q 15001に適合 |
| 運用 | PDCAサイクルによる継続的改善 | PDCAサイクルによる継続的改善 | PDCAサイクルによる継続的改善 |
| 有効期限 | 3年 | 3年 | 2年 |
| 備考 | ISO/IEC 27001取得のフレームワーク | 海外取引が多い企業に重要 | 個人情報保護の社会的責任を示せる |
ISMS
ISMSは、「情報セキュリティマネジメント」そのものを指します。企業が扱っている情報をどのように収集して保護するか、効率よく活用するためにはどのようなシステムを用いるかを管理することです。
そのため、本来「ISMS」と言った時にはマネジメント活動を意味し、認証制度自体を示すものではありません。
家のセキュリティに例えると…
「ISMSは、家のセキュリティ対策と似ています。泥棒に入られないように、鍵をかけたり、防犯カメラを設置したり、家族でルールを作ったりするように、会社でも情報セキュリティを守るための対策をまとめて管理するのがISMSです。」
ISO27001
情報セキュリティマネジメントの国際的な規格がISO27001です。
ISOは産業に関係するさまざまな規格を世界標準として提示し、審査の上で基準に適った企業へ認証を与えています。
その情報セキュリティマネジメント版の1つがiso27001ということになります。
日本国内だけでなく、世界的に通用する規格となりますし、ISO自体の知名度や信頼度が高いので、効果の高い認証取得を目指すのであれば、iso27001を取りたいと考える企業が多い傾向にあります。
Pマーク(プライバシーマーク)
Pマークも、情報管理の点で知名度の高い認証制度です。「プライバシーマーク」というのが正式名称ですが、「Pマーク」と呼ばれることが多いです。
この認証団体は一般財団法人日本情報経済社会推進協会であり、あくまでも日本国内で通用する制度となっています。認証を受けた企業は、自社ホームページや製品などにロゴマークを付けることができるので、すぐに認証企業かどうかを確認できます。
Pマークの大きな特徴は、保護管理する情報の対象範囲を個人情報に絞っている点です。
事業者は顧客から住所氏名やメールアドレス、場合によってはクレジットカード情報などを収集し、保管しています。個人識別できる状態にある情報ですので、流出したり改ざんされたりすると大きな問題につながりかねません。
そこで、個人情報を適切に管理するためのシステムやルールを設けているかをチェックし、基準をパスした企業にPマークを与えています。
こうして見ると、ISO27001とPマークでは、対象となる情報の範囲が異なることが分かります。より限定的な運用をしているのがPマークと言えます。
Pマークの最大の目的は消費者保護にありますので、制度の目的についても比較する必要があるでしょう。
Pマークは国内認証制度ですので、取得できるのはあくまでも日本国内に活動拠点を置いている事業者のみとなっています。海外では効力を持ちませんが、日本のPマークを持っているということをアピールすること自体は可能です。
それから、Pマークは原則として、事業者全体を対象として認証を受けることになります。
ISO27001のように、特定の部門や拠点だけを対象とすることはできません。顧客に関する個人情報を保有、管理していない部門においても対象となり、同じようにルールの適用をしていく必要があります。
プライバシーマークという形で制度が運用され始めたのは、1998年のことです。そのため、ISO27001よりも歴史が長く、国内における知名度も高いです。
2023年における認証取得事業者の数は17,000社以上となっていて、ISO27001の2倍以上あります。
やはり個人情報のみに絞っていることからハードルが低く、広告などにロゴを貼り付けてアピールしやすいというメリットが影響しています。
Pマークの有効期間は2年となっていて、更新審査をパスすることで継続できます。ISO27001のように維持審査はなく、更新をするだけで良いというのも異なる点です。
認証を維持するのはPマークのほうが負担が少ないでしょう。
審査機関はそれほど多くはなく、審査機関によって手数料の差が出ることはほとんどありません。一方のiso27001は認証機関が国内に50社以上あり、手数料も異なります。
その点では、Pマークは選択肢がほぼないとも言えるでしょう。
全体として、取得や維持に関する負担は、厳格さや費用面でPマークのほうが少なめです。しかし、明確なルール設定がなされているため、自社の状況に合わせて弾力的に運用したくても、融通が利かないところもあります。
2.ISMSかPマークどちらを選ぶべき?選択基準と業種による適用の違い
ISMS認証とPマークには、上記のような違いがあります。そこで、その違いを踏まえて、どちらを選んだら良いのかを考えていきましょう。
ISMS取得がおすすめの企業・業界
ISMS認証は、より高度で国際的な実効性を持つのが特徴です。そのため、BtoBをメインとしてサービスや製品を提供している企業は、ISMSのほうがおすすめです。
特に、業務システムやクラウドシステム、ITインフラを提供しているIT業界であれば、ISO27001のメリットは大きいでしょう。
実際に、自治体や大企業の場合は、発注先としてisms認証を取っているかを一つの選考基準としていることがあります。
認証を受けていないと、そもそもの選択肢に入ることすらできないケースもありますので、競争力を高めるためには重要なのです。
Pマーク(プライバシーマーク)取得がおすすめの企業・業界
比較的取得のハードルが低いため、営業規模が小さい会社でも取りやすいですし、どの業界でも通用する制度です。
プライバシーマーク(Pマーク)は、個人情報保護法に基づいた適切な個人情報保護体制を整備している事業者に付与される認証制度です。
特に、個人情報を取り扱う機会が多い業界や企業にとって、Pマーク取得は顧客からの信頼を得る上で有効な手段となります。
例えば、情報サービス・調査業、人材派遣・人材紹介業、出版・印刷・同関連産業、ECサイト運営企業、医療機関、教育機関などは、顧客や従業員の個人情報を扱うため、Pマーク取得が推奨されます。
また、BtoC企業もPマークを取得することで、個人情報保護に対する意識の高さをアピールし、消費者からの信頼を得ることができます。
