2020.10.13

手続き・申請関係会社の信頼度アップに繋がる規格、PマークISMSの違いとは?

最近よく、メディアで個人情報流出や、ネットセキュリティの管理についての報道を耳にします。企業様にとって社内、社外問わずに情報を守ることは会社の信用度に繋がるのではないでしょうか?
今回の記事では、こうした情報セキュリティの面から消費者やお取引先様にアピールができるPマークISMSの2つの規格についてご紹介致します。


そもそもPマーク、ISMSって何?




Pマーク(プライバシーマーク)
Pマークとは個人情報の取り扱いが適切に行われているかを一般財団法人が評価し、基準を合格した企業に付与される法律の規定のことです。
もともと個人情報保護法が発端となっており、個人情報の持ち主のプライバシーを保護することが名目で作られました。




ISMS(アイエスエムエス)
ISMSとは規格に基づいた情報セキュリティを適切に取り扱っている事業者に対して、一般財団法人が認定しISMSマークの使用を許可する制度になります。




どちらの規格も、取得した企業様が社内外問わずセキュリティ対策を徹底しているということを証明するための規格ですが、個人情報のみを取り扱うのがPマークで、個人情報を含むすべての情報を取り扱うのがISMSです。

時間や費用はかかりますが、企業様がPマークやISMSを取得したいと考えるメリットとして下記のようなものが考えられます。

社外的なものとしてのメリット



・高いレベルの情報管理をアピールすることができ、顧客からの信頼性が向上する
・同業種内で比較されたときに他社との差別化ができる
・取引条件の一部として情報管理を必須とする顧客とのお取引きが可能


社内的なものとしてのメリット


・情報漏洩などのセキュリティ面でのリスクを減らす
・従業員のセキュリティに対する意識やモラルの向上
・業務効率の向上

PマークとISMSの違いとは?




1:取得目的の違い


先ほどもお伝えしましたが、Pマークはシステム内で保護される対象の情報資産は個人情報に限定されます。
あくまで個人情報のみを適切に保護することが目的のためその他の機密情報には適応しないのが特徴になります。
しかし、ISMSではシステム内で保護される対象は個人情報を含む情報資産すべてです。
組織が保有する情報資産それぞれのリスクを軽減するための対策そのものが目的になります。





2:規格の違い


Pマークは日本の工業規格をもとに運用されているため、 国際基準に準拠しておらず日本国内でのみの適用が可能であるのに対し、ISMSは日本の工業規格にも適合している証明かつ、国際規格にも適合した運営を行っている証明にもなります。そのため海外とのお取引きが多い企業様に関してはISMSの方が取得に向いている可能性があります。




3:適用範囲の違い


Pマークは企業全体でシステムの基準に準ずる必要があり、個人情報を基本的には扱わない部門があっても、Pマークに則った運用が求められます。逆にISMSは適用範囲を定めるため、部門単位などで柔軟に取得できるため、認証を受けていない箇所ではISMSに準拠しなくてよいことになります。




4:管理対象の違い


Pマークの場合は、個人情報を保護することを目的としているため、マニュアル自体が定められており、枠組みから外れた場合は取得することができません。
逆にISMSは情報資産を保護するための「仕組み」や「体制」づくりそのものを目的としているため、決まった手順がなく、企業に合わせた手順を作成することができます。




5:規格の更新・維持審査の方法の違い


Pマークも、ISMSも保持するためには更新が必要になるのですが、Pマークは3年ごとに更新かつ、毎年の維持審査が必要。
ISMSは2年ごとの更新審査のみで維持審査が不要。
そのため更新審査の頻度はISMSの方が多いですが、全体的にみると、Pマークの方が維持・更新に手間がかかるとの見解がございます。




6:セキュリティ対策の違いについて


先ほどの管理対象の違いでお話しましたが、Pマークには決まったセキュリティ対策の手順があります。
それに比べてISMSは企業ごとの規模感であったり、保有する情報資産などを考慮して管理策を選択することができます。



まとめ:PマークとISMSの違いを知り、メリットと費用対効果を見極めよう




このようにPマークとISMSには違いがあり、それぞれの特徴があるのですが、規格を取得することで社内外に対する信頼性をアピールできるなどのメリットがある反面、


・審査の段階で、文書の作成や現地審査などに時間がかかる為、取得するまでの期間に業務負荷が増える。
・小規模の企業でも最低30万、大規模の企業様でも120万ほど申請に費用がかかる。
・内部監査や従業員への個人情報保護教育を実施する必要があるため様々な管理策に順守するためのマニュアルや文書が増えてしまう。

など上記のようなデメリットがあります。




ここまでPマークとISMSの違いやメリット・デメリットのお話をしましたが、実際に規格を取得するとなると、長い期間をかけて申請手続きをする必要があります。
どちらの規格を取得した方が良いかはそれぞれの企業様の特色によるため、企業様の働き方に合わせて選定していく必要があります。
この機会に1度情報セキュリティ面の見直しをしてみてはいかがでしょうか?


ミライズワークスでは、それぞれのお客様に合わせた働き方を提案しております。
ご不明な点やご質問などございましたらお気軽にお問合せくださいませ。