ISMSとPマークの違いは？取得のメリット・デメリット

昨今、情報セキュリティ規格に関連して、「取引先から取得しているか質問される」、「ニュースで情報漏洩の事故などを目にして、漠然と取得すべきなのではないかと感じている」といった声がよく聞かれます。実際に現在、情報セキュリティ規格の中でも代表的なISMSやPマークの取得を検討中だという方もいらっしゃるかもしれません。一方で、両者の違いをよく理解できていないという方も少なくないようです。そこで今回の記事では、ISMSとPマークの概要やメリット・デメリット、取得までのステップなどについて、双方を比較しながらご説明します。「どちらを取得すべきなのか？」、「取得する意味はあるのか？」といった疑問をお持ちの方の参考になれば幸いです。

ISMSとPマークの概要

ISMS（Information Security Management System / 情報セキュリティマネジメントシステム)とは？

ISMS（ISMS適合性評価制度）とは、情報の機密性、完全性、可用性（※）を保護するための体系的な仕組みのことです。具体的には、国際規格「ISO/IEC 27001（日本版はJIS Q 27001:2014）」で定められている要求事項（情報セキュリティを効果的かつ継続的に行うための具体的なルール）が満たされているかどうかを認証する仕組みのことをいいます。ISO/IEC 27001には要求事項のほか、管理策と呼ばれる情報セキュリティの対策集も記載されています。

ISO/IEC 27001の要求事項に則ったマネジメントシステムを運用し、認証機関の審査を受けることで、ISMSを取得することができます。これらの要求事項は、ITセキュリティの管理方法、アクセスコントロール、オペレーションセキュリティ、さらには人的セキュリティなど、ITシステム全体のリスクを踏まえた内容となっています。

（※）情報の機密性、完全性、可用性

・機密性（Confidentiality）：「アクセスすることが認可された者だけが情報にアクセスできる」という状態を確保すること。

・完全性（Integrity）：情報および処理方法が正確な状態、および完全である状態（改ざんや消去、破壊などが行われていない状態）を安全防護すること。

・可用性（Availability）：「認可された利用者が、必要なときに情報にアクセスできる」という状態を確保すること。

（参考：総務省「国民のためのサイバーセキュリティサイト」）

Pマーク（プライバシーマーク）制度とは？

Pマーク制度とは、個人情報を適切に保護している事業者を認定する制度のことで、「PMS（Personal Information Protection Management Systemsの略）」とも呼ばれます。事業者の審査では、個人情報の取り扱いが適切に行われているかどうかを、日本国内の規格であるJIS Q15001（※）に沿って第三者が客観的に評価します。JIS Q15001の他に、個人情報保護法や地方自治体による個人情報関連の条例、業界団体の個人情報関連ガイドラインなどの法律類も、審査の基準に含まれます。

関連記事：「業界別に見る：海外のセキュリティ/プライバシー関連法」

（※）JIS Q15001：個人情報保護を目的として、組織が個人情報を適切に管理するためのマネジメントシステムの要求事項が定められたJIS規格

ISMSとPマークの違い

ISMSとPマークの比較

ISMSとPマークの最大の違いは、前者が情報セキュリティ全般に関する認証であるのに対し、後者は個人情報に特化した規格であるという点です。その他の主な違いについて、以下の表にまとめました。

（参考：ISMS-ACのページ、JIPDECのページ）

ISMSのアドオン（拡張）規格

ISMSには、いくつかのアドオン規格が存在します。以下に代表的なものを3つ挙げていますが、これらはISMS（ISO/IEC 27001）の取得を前提として追加で取得するものであり、単独では取得できません。

ISO/IEC 27017

ISMSの管理策をクラウドサービスに拡大したもので、クラウドを提供する組織、利用する組織の双方に適用される規格です。

ISO/IEC 27018

クラウド上に保管されている個人情報の取り扱いに特化したもので、クラウドを提供している組織にのみ適用される規格です。

ISO/IEC 27701

ISMSの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが定められた規格です。

ISMS / Pマーク認証取得が必要な企業とは？

取得を検討すべき企業

以下のいずれかに当てはまる企業は、ISMSまたはPマークの取得を検討してみることをお勧めします。

ISMS

・セキュリティを強化したいと考えている

・セキュリティ基準を作りたいと考えている

・セキュリティへの取り組みを強く求められる事業やサービスを展開している（クラウドサービス事業者、医療関係の事業者、機密性の高い情報を扱うサービスの提供者など）

Pマーク

・個人情報を取り扱うビジネスを展開している

・個人を特定できる情報を扱っている

※個人情報の例：住所、氏名、メールアドレス、位置情報、写真データ、動画データ、医療関係情報（カルテ、往診履歴）、匿名加工した情報など

企業が認証取得に至った理由の実例

・取引先から要求があったため（取得しないと契約/更新ができないと言われた、など）

・VC（ベンチャーキャピタル）から投資条件として提示されたため

・IPOにおける必須事項として指定されたため

・事業の拡大に伴い、取引先の提示するセキュリティレベル（セキュリティチェックシート）をクリアするため

・海外の顧客と取引するにあたり、国際セキュリティ規格への準拠が必要になったため

ISMS / Pマーク取得のメリット・デメリット

ISMSならば情報セキュリティ体制、Pマークならば個人情報の取り扱いに関して、自社が一定のレベルに達していることを証明できるというのが主なメリットです。また、予算やリソースをかけて取得するため、それを無駄にしないためにも、本腰を据えて体制構築に取り組めるようになります。

一方で、業務負荷やコストが増大するというデメリットもあります。そのため、取得を検討する企業は、自社の事業内容や取引内容、運用体制を踏まえて取得目的を設定する必要があると言えます。

その他の主なメリット・デメリットは、以下の図の通りです。

ISMSとPマーク、どちらを取るべき？

判断基準としての各認証の特徴

まず、ISMSは対象範囲（サービス、組織など単位は自由）を決めて情報セキュリティの管理・運用を決めていくものであるのに対し、Pマークは、全社で個人情報を適切に保護するためのものです。これを踏まえると、B2B企業にはISMSが、B2C企業にはPマークが適していることが多いです。

また、情報セキュリティの管理・運用を幅広くしっかりと行いたい場合や、今後自社のクラウドサービスなどへの認証拡張を考えている場合には、ISMSの方が適しています。一方で、主に個人情報を取り扱うサービスを提供している場合はPマークが適しています。

その他、どちらを選ぶべきかに関する判断基準となるような各認証の特徴を、以下の表にまとめました。

判断のためのフローチャート

ご参考までに、どちらを取得すべきかを判断するための簡易的なフローチャートを作成しました。

認証取得までのステップ

取得までの流れ

認証取得に至るまでの大まかな流れは、以下の通りです。

PDCAサイクル

どちらの認証においても、組織的・継続的な改善を行うためには、「PDCAサイクル」を取り入れることが求められます。PDCAサイクルのPは「PLAN（計画）」を、Dは「DO（運用）」を、Cは「CHECK（評価）」を、そしてAは「ACT（改善）」を意味します。

PLAN

問題を整理し、目標を立て、その目標を達成するための計画を立てます。

DO

目標と計画をもとに、実際の業務を行います。

CHECK

実施した業務が計画通り行われて、当初の目標を達成しているかを確認し、評価します。

ACT

評価結果をもとに、業務の改善を行います。

取得支援コンサルサービスの利用

認証取得は長期的なプロセスになる上、やらねばならないことがたくさん出てきます。また、専門的な知識が求められる場面も多いため、セキュリティコンサル会社などの認証取得支援サービスを利用するのがお勧めです。

関連記事：セキュリティコンサルとは？比較ポイントやケーススタディ紹介

弊社マキナレコードでも、ISMSやPマークの取得支援サービスを提供しています。取得までの4ステップすべてを通してサポートを行い、認証取得後の維持運用・更新まで支援いたします。また、認証の種類で迷っている、違いを明確にしたい、などのお悩みがある場合には、コンサルタントから最適な認証を提案させていただくことも可能です。

サービスの詳細については、弊社ホームページをご確認ください。

また、セキュリティ体制構築支援に関する詳細資料を無料で配布しております。以下のリンクからお申し込みください。