ISMSとプライバシーマークどちらが良いのか?違いについて徹底解説!
企業や団体の運営において、さまざまな「情報」を取り扱う現代、情報セキュリティ対策の必要性はますます高まっています。
企業や団体における情報セキュリティの認証制度として、「ISMS」と「プライバシーマーク(Pマーク)」制度があります。よく比較されるこの2つの認証制度ですが、どちらを取得するべきか悩まれている事業者の方も多いのではないでしょうか。
そこで本記事では、ISMSとプライバシーマークの特徴や違いについて解説します。
目次
ISMSとプライバシーマークそれぞれの特徴
2つの制度の違いを解説する前に、ISMSとプライバシーマークのそれぞれの制度についてご説明します。
ISMS
ISMSとは「Information Security Management System」の略称のことで、日本語では情報セキュリティマネジメントシステムと訳されます。情報の機密性・完全性・可用性の3つの要素を維持し、組織で情報セキュリティを管理を行う仕組みのことを指します。
ISMSでは、組織が保有している情報資産それぞれに対して、どのような脅威が存在し、脆弱性があるのかを認識した上でリスクを算出・軽減するための対策を行うことを目的としています。
ISMSでは情報セキュリティの3つの要素を、以下のように定義しています。
- 機密性
認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また、開示しない特性 - 完全性
正確さ及び完全さの特性 - 可用性
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
機密性と完全性は、第三者による不正や、改ざんを防止するために重要なセキュリティ要素です。しかし、機密性と完全性に集中しすぎると、セキュリティが強固になり、利用者が必要な情報にアクセスできない状態に陥る可能性があります。
それを防ぐ観点から重視されるのが、可用性になります。ISMSでは3つの要素をバランスよく維持し、改善していくことが重要となります。
プライバシーマーク
プライバシーマーク制度とは、事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価し、その証として“プライバシーマーク”の使用を認める制度のことです。
この制度では日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した審査基準に従って事業者を評価します。
つまりプライバシーマークがある場合、日本産業標準調査会で制定した個人情報保護の標準を満たした環境が整備されていると言うことになります。
個人情報保護法を発端に1998年から行われてきた制度であり、主に次の目的を持っています。
- 消費者の目に見えるプライバシーマークで示す事によって、個人情報の保護に関する消費者の意識の向上を図ること
- 適切な個人情報の取り扱いを推進する事によって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためにインセンティブを事業者に与えること
これらの目的からも、プライバシーマークは個人情報の保護に特化している制度であるということがわかります。
プライバシーマークは、企業や団体にとっては法律への適合性や、自主的に高いレベルの個人情報保護マネジメントシステムを確立し、運用していることを消費者にアピールする有効な手段として活用されています。
ISMSとプライバシーマークの違い
それぞれの制度についてご説明したところで、ここでは2つの制度の違いについて、各項目ごとに解説していきます。
規格の差異
ISMSとプライバシーマークでは、準拠している規格が異なります。
ISMSは、国際標準規格であるISO/IEC27001に基づいて運用されています。日本においては、日本工業規格としてJISQ27001の規格に基づいて運用され、JISQ27001はISO/IEC27001を日本語に翻訳したものとなっています。
そのため、ISMS認証を取得すると、国際規格に適合した企業運営を行なっていることを証明することができます。
一方で、プライバシーマークは、日本工業規格であるJISQ15001に基づいて運用されています。個人情報保護法をベースとしている規格のため、国際規格へ準拠しているわけではありません。
そのため、プライバシーマークが適用されるのは、日本国内限定になっています。
対象の差異
ISMSとプライバシーマークには、「保護する情報資産の対象」と「取得可能範囲の対象」の2点でも、異なっています。
まず「保護する情報資産の対象」と言う観点での違いは以下の通りです。
- ISMS
適用範囲の個人情報を含む全ての情報資産に対するリスク対応を保護 - プライバシーマーク
企業や団体全体の個人情報を保護
プライバシーマークは個人情報に限定されているのに対し、ISMSではより大きな範囲の情報資産を保護対象としていることがわかります。
また、「取得可能範囲の対象」とは、企業や団体内でそれぞれの認証制度を適用する範囲のことを指します。
ISMSでは、企業全体の取得ではなく、対象を限定して認証を取得することができます。
一方、プライバシーマークは、適用範囲が企業全体に設定されているため、個人情報を有していない部署でも規格に則って業務を行う必要があります。
そのため、ISMSでは情報を有しない部署の負担を軽減することができますが、対象外の部署では利用できないため注意が必要です。
要求の差異
ISMSとプライバシーマークでは、情報マネジメントシステムに認証として要求される項目が異なっています。
ISMSでは、「2. 対象」で述べた情報資産を保護するための仕組みや体制を要求しています。
つまり、それぞれの制度の特徴で先述した、情報セキュリティの3つの要素である、機密性・完全性・可用性を維持するための仕組みや体制を整備することが要求されているのです。
仕組みや体制づくりの枠組みは特に規定されておらず、企業や団体で自由に作成することができます。
一方、プライバシーマークでは、保有する個人情報を保護することが要求されています。それに伴う手順や作成する文書などの枠組みは規格が定めているため、自由に作成することはできません。
そのため、プライバシーマークの認証を受けている企業は、どの企業も同じ企画に沿った運用をすることから、同じような管理方法になります。
更新の差異
どちらの認証制度でも、取得した際には更新審査が必要になります。
ISMSにおける更新審査は3年に一度ですが、その他に維持審査というものが毎年行われます。維持審査では、前回審査以降1年分の運用が確認され、更新審査では認証後の3年分の運用が確認されます。審査員から、運用内容について指摘事項を出されると、その都度是正対応をする必要があります。
また、企業や団体の規模によって変わりますが、維持審査に20万円〜50万円、更新審査に50万円〜150万円ぐらいのコストがかかります。
一方、プライバシーマークでは、2年ごとに更新があります。プライバシーマークの有効期限が2年であるため、有効期間が終了する8ヶ月前から4ヶ月前までの間に更新手続きが必要になります。更新審査の際には、前回の更新審査以降の管理状況や運用状況について審査が行われます。
こちらも企業や団体の規模によって変わりますが、更新の際は22万円〜90万円程度が必要となります。
セキュリティ対策の差異
ISMSには、適切なマネジメントシステムを構築する上で、具体的な114の管理策を提示しています。組織の規模、保有する情報資産、費用対効果などを考慮しながら管理策を選択することができるため、場合によっては社内での作業負担を極力抑えながら、ISMS認証の取得ができる可能性もあります。
一方、プライバシーマークでは、企業の実態に沿った個人情報保護のためのセキュリティ対策を講じる必要があります。ISMSと同じように思えますが、定められた規格に沿った運用が必要となります。例えば、個人情報を取得する際には、必ず同意書を用意し、同意書に利用目的を記載しておく必要があります。
このように、セキュリティ対策としてはISMSとプライバシーマークは大きく異なり、ISMSのほうが柔軟な対策を講じることができると言えます。しかし、対策法が指定されているプライバシーマークは、取得の際に検討を行う必要がなく、指示された対策の運用だけで構わないと捉えることもできます。
相互認証の差異
相互認証とは、規格に限らず、基準認証制度についても相互で認証を行うことを指します。
これにより、自国で認証を受けた結果が他国でも認められ、複数の認証を受ける手間やコストを省くことができます。
ISMSでは、IAFに加盟する数十カ国の認定期間で相互認証が行われています。
一方、プライバシーマークでは国際規格ではありませんが、中国のソフトウェア産業協会のPIPA制度と相互認証を行なっています。
では、どちらを取得するべきなのか?
ここまで、2つの制度の違いを詳しく解説してきましたが、結局ISMSとプライバシーマークはどちらを取得するべきなのでしょうか。
結論からいうと、どちらを取得した方がいいのかは、各企業において取引先からの要求や入札の際の条件として、どちらを求められているのかによって変わります。
一般的には、外部からの情報処理により個人情報を預かるケースの多いBtoB企業では、ISMSがおすすめです。
さらにISMSは国際規格で審査されるため、海外にも情報セキュリティマネジメントの運用が適切であることをアピールできます。海外商談などが多い企業や、海外展開を検討している企業や団体にとっては、ISMSを取得することで事業を有利に進められる可能性もあります。
そして、BtoCなど顧客の個人情報を多く取得し、事業を行う企業についてはプライバシーマークがおすすめです。国内での知名度を誇るプライバシーマークは、主に、国内のビジネス取引や、企業のWebサイトで個人情報保護の姿勢をアピールしたい際に、活用されることが多いためです。
ISMSとプライバシーマーク、どちらを取得するべきか悩んでいる方は、本記事で紹介したような情報を踏まえたうえで、導入を検討しましょう。
また、情報セキュリティへの高い意識をもつことをアピールするために、ISMSとプライバシーマーク両方の認証を取得する企業も少なくありません。
まとめ
この記事ではISMSとプライバシーマークの違いや、どちらを取得するべきかについて解説しました。
事業を進める中で、情報セキュリティマネジメントの整備は欠かせません。
まずは、なぜ情報セキュリティ認証制度が必要なのか、取得の動機を確認しましょう。そのうえで、今後の展望からどちらの規格の取得・運用が有効であるかを判断しましょう。
ISMSとプライバシーマークのどちらを取得するべきか、ご自身での判断が難しい方は、コンサルティング会社への依頼を検討してみてはいかがでしょうか。
株式会社UPFでは、プライバシーマーク、ISMS合計で2561社以上の新規取得をサポートしてきた業界No.1を誇る実績があります。
ISMSとプライバシーマーク、どちらを新規取得するかお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
