ビジネス上の要求や自社のセキュリティ向上のためPマークをISMSのどちらかの認証を取得しようと考えている企業が増えています。ただし実際に取得するにあたってPマークとISMSの違いがよくわからないという声が多いのも事実です。
ここではPマークとISMSの違いについて独自の視点で紹介していきます。
PマークとISMS:混同されやすい2つの認証制度、その本質的な違いとは?
まずはPマークとISMSの認証の本質的な違いにお伝えしていきますが、
PマークはJIS Q 15001(最新版はJIS Q 15001:2023)というJIS規格に準拠していることを審査されるのに対してISMSはISO27001(JIS版ではJIS Q 27001:2022)という規格に準拠していることを審査されるものになります。
それぞれの規格には本文と呼ばれる全体のマネジメントシステムに対する要求事項と附属書と呼ばれる具体的な対策項目が含まれていますが、附属書Aと呼ばれる項目についてはPマーク・ISMSともに最新版では93個となっており、項目数は同様となります。
ただしPマークについてはISO(JIS)規格に加えて独自の構築・運用指針というものがあるため若干項目数は異なります。
単純に対応すべき規格の項目数でいうとPマーク・ISMSはほぼ変わらないということになります。
個人情報保護と情報セキュリティ管理:それぞれの専門性を追求するPマークとISMS
それではそれぞれの違いは何なのでしょうか。
一般的によく言われているのがPマークの対象は個人情報であり、ISMSの対象は情報資産であるというものです。これは大きな枠組みでは間違っているわけではありませんが、正しい表現とは言えません。Pマークで基本的に求められているのは個人情報保護法に基づいた、法律に準拠した個人情報の取り扱いをしているかという点になります。
アクセスログやバックアップに関する審査基準はあるものの、個人情報保護のためのセキュリティ対策を実施しているかという観点はほとんどなく、法律に基づいたJIS規格・審査基準に準拠した同意や各種運用をおこなう仕組みがあることを確認する審査となります。
一方でISMSで求められているのは、情報資産や自社システムを守るためのセキュリティ対策を含めた活動がおこなわれているかという点になります。アクセス制御やアカウント管理の仕組み、システム開発や運用における各種プロセスの整備などが挙げられます。
ここで最も重要なポイントとしては、ISMSでは情報資産を守るだけではなく、システム開発・運用・保守の局面でセキュリティに配慮した対策をおこなっていることを求めています。自社でシステム開発やWebサービスを提供していないとほぼ関係のない項目が30%以上ある状況です。そのため、自社でシステム関連のサービスをおこなっていない企業の場合には情報資産を守るという側面ではあまり効果がない可能性もあります。
PマークとISMSはともにマネジメントシステムですので、台帳を作成する・監査や教育をおこない活動を定着させるといったPDCAの仕組み自体は共通の部分があります。違いはPマークでは法律・ガイドラインに準拠した個人情報の取扱い、ISMSでは情報資産を守るための各種セキュリティ施策が求められているということになります。
個人情報を多く取り扱う企業であれば、法律に準拠していない場合は炎上リスクがありますし、Webサービスを提供している企業であれば外部からの不正アクセスや内部不正による情報漏えいのリスクがあります。企業としてどちらのリスクに対するべきなのかという判断でどちらの認証を取得するのかを考えるのもよいでしょう。
国内限定 vs. グローバル対応?:PマークとISMSの適用範囲と国際性
一般的によく言われているのがPマークは日本国内の認証であり、ISMSは世界基準での認証であるという考え方です。
ただしここには大きな誤解があります。Pマークは日本の個人情報保護法を元にしたJIS Q 15001に準拠した認証ですので日本国内のみで評価されるケースがほとんどです。一方ISMSはISO認証のため世界基準での認証という捉えられ方をすることが多いですが、2024年の統計ではISMSを取得している企業数は約70000社でそのうち1位の中国、2位の日本、3位のイギリスで全体の6割を占めており、EU圏やアメリカでは多い国で2000社程度となっています。そのため、EU圏やアメリカではあまり認知されていない認証であり、世界基準とは言えないのが実態です。
これまで見てきた通り、Pマークは日本、ISMSは世界という認識には誤解があり、「Pマークは日本基準、ISMSは日本、中国、一部世界基準」というのが正確な表現になります。そのため、グローバル基準でという考え方であればISO以外のガイドラインに準拠した取り組みをおこなった方がよいかもしれません。
全社一丸 vs. 必要な範囲のみ:PマークとISMSの認証対象と運用コスト
PマークとISMSの違いは認証範囲と認証継続に関わるコストにも現れます。
Pマークは法人単位の認証取得となるため、全社的な取り組みを進める必要があります。一方ISMSは拠点単位や事業単位、部門単位など自社で適用範囲を指定することが可能です。もちろん対外的な証明や名刺へのロゴなどは適用範囲外の方は利用できませんが、特にコアとなるサービスのみを対象とすることなどで社内リソースや費用を削減することができます。
費用に関してはPマークは法人単位となるため、法人の規模によって料金が変わってきます。新規取得後は2年毎の更新費用が継続的に発生することとなります。
一方ISMSは拠点数や適用範囲の人数、サービス内容により料金が異なり、また審査機関によっても変動があります。新規取得後は毎年審査があり、新規取得後の2年間は継続審査、3年目は更新審査という形で3年間で1サイクルという仕組みになっています。新規取得審査>更新審査>継続審査の順で費用が変わってきます。
Pマーク、ISMSとも継続的なマネジメントシステムに関わる活動は毎年おこなわなければならないものの、Pマークの審査は2年ごとISMSの審査は毎年となりますので自社の審査対応工数なども加味してどちらを取得するのか考えてみるのもいいでしょう。
どちらを取得すべき? 企業にとって最適な選択を導く判断基準
これまでお伝えしてきた情報から、企業にとってPマーク、ISMSのどちらを取得するか考えていきましょう。
大前提として考えなければいけないのはビジネス要件です。最近は少なくなってきましたが、業務委託の要件や入札要件ではPマーク・ISMSどちらかの認証のみしか要件になっていないケースもありますので確認をしっかりしましょう。
要件上Pマーク、ISMSどちらでも問題ない場合、自社の規模を考えるのがよいでしょう。Pマークは全社が対象であり、従業員教育は全従業員が対象となり内部監査は全部門・全拠点が対象となります。全国規模の企業の場合教育や監査だけでなく、各種活動の範囲が非常に広くなり取得に向けた社内工数は非常に大きくなります。ISMSについても全社を適用範囲にするケースも多いものの、ビジネス要件に応じて範囲を絞ることもできますし、3年で1サイクルという考え方のもと、内部監査は3年で全部門を実施するなど柔軟な対応も可能となってきます。
次に考えるのは認証取得の目的・対象が何かということです。個人情報の適切な取り扱いや法令遵守を一般消費者にアピールするのであればPマーク、情報セキュリティ対策をアピールしたいのであればISMSという考え方が一般的となります。また、従業員に対して個人情報保護の意識をもってもらうのであればPマーク、Webサービスやシステム開発をしている企業で情報セキュリティに関する意識を持ってもらうのであればISMSという考え方もあります。
今までお伝えしてきた通り、Pマークを取得すれば個人情報が漏洩しないような仕組みが導入されるわけではなく、ISMSを取得しても不正アクセスへの対策の仕組みが導入されるわけではありません。両方ともマネジメントシステムですので、組織としての体制や継続的な活動をおこなう仕組みが構築できるだけです。そのため、この枠組みを使って企業として何を強化していきたいかを考えるのもよいでしょう。
最後に費用面ですが、全社規模で取得する場合は、ISMSの方毎年審査があることもありトータル費用はPマークよりも高くなることが多いです。逆に部門を絞ることが可能な場合はISMSの方が安くなることもあるので、ある程度長期的なスパンでの費用を比較してどのくらいの差分があるのかも考慮して取得する認証を決定するのがよいでしょう。Pマーク、ISMSともに途中でやめることはできるものの、認証取得の継続を停止した場合、何か問題があったのではないかと外部から見られてしまうこともあるため、ある程度長期的な認証継続が一般的です。つまり継続的なコストが発生することになりますので、取得段階で費用面はきちんと考えることが重要です。
最後に
PマークとISMSの違い、どちらの認証を取得するかについてお伝えしてきました。個人情報の有無やセキュリティ対策の有無などだけで単純に決められることではないことがわかっていただけたのではないでしょうか。
一つの側面からだけではなく、複数の側面からPマークとISMSどちらが自社にマッチしているのか十分検討した上で取得に向けたプロジェクトをすすめていきましょう。
