ISO27001とプライバシーマークの違い

2021年12月14日

こんにちは。
ISOコム　マネジメントコンサルタントの加藤　政夫です。
今日は「ISO27001とプライバシーマークの違い」をお話してみたいと思います。

当社のISOコンサル実績はこちら

ISO27001に関わる「情報セキュリティ」って何？

ISO27001とプライバシーマークの話をする前に、まずはこれら二つの規格に共通する情報セキュリティとは何なのでしょうか。

私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な取組みをすること、それが情報セキュリティの取組みです。

ISOもプライバシーマークも「情報セキュリティの取組みをしています」とアピールできるのは同じ

皆さんの組織にとって、情報セキュリティに対する取組みが重要であることは十分認識されており、それを組織外にも積極的にアピールし、社会的な信用を得たいと考えているのではないでしょうか。

そのために、日本の多くの組織では、ISMS（ISO27001）認証、もしくはプライバシーマークを取得していると思います。

また、皆さんが、取引する組織が、ISMS（ISO27001）認証、もしくはプライバシーマークを取得しているならば、お客様として接する場合、そういう組織と安心して情報を提供することできるのではないでしょうか

情報セキュリティに対する取組みを対外的にアピールするためには、ISMS（ISO27001）認証、もしくはプライバシーマークを取得するという選択肢があります。
（場合によっては、両方を取得する組織もあります。）

これから、ISMS（ISO27001）認証とプライバシーマークの違いについて、いくつかの観点で説明をしたいと思います。

ISO27001とプライバシーマークでは出発点が違う！

1）ISMS（ISO27001）

まず、ISMS（ISO27001）については、QMS（ISO9001）を始めとして、会社組織を経営するための仕組みを定めた規格であり、組織として情報セキュリティに取り組むのであれば、やらなければならないこと（要求事項）が記載されています。
（マネジメントシステムとは、方針及び目標を定め、その目標を達成するために組織を適切に指揮・管理するための仕組みです。）

この要求事項をどう実現するかの文書を作成し、それに従って業務を行うことになります。

情報セキュリティに対して組織としてどう取り組むべきかが出発点です。

2）プライバシーマーク

一方、プライバシーマークについては、「行政機関が保有する電子計算機処理に係る個人情報の保護に関する法律」（昭和63年12月法律第95号）が制定されたのを契機として、通商産業省（現、経済産業省）の指導を受けて、財団法人日本情報処理開発協会（現、一般財団法人日本情報経済社会推進協会）がプライバシーマーク制度を創設して、運用を開始したものです。

規格としては、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」があり、これに基づいた運用が求められます。

こちらは、法規制（個人情報保護法）が出発点です。

規格の違いとは？

ISMS（ISO27001）の規格は、ISO/IEC27001:2013(JIS Q27001:2014)であり、マネジメントシステムとしての国際標準規格です。世界中で使われています。

個人情報については、管理策（A.18.1.4 プライバシー及び個人を特定できる情報（PII）の保護）としてまとめています。

一方、プライバシーマークの規格は、JIS Q 15001:2017であり、日本国内でのみ使われているものです。

JIS Q 15001は、1999年に法令を守ること（コンプライアンス）を中心に作成され、2006年の改訂でマネジメントシステムとしての規格となりました。

更に、2017年に改訂され、ISO/IEC27001:2013と同じく、マネジメントシステムの共通要素を取り入れたため、規格としては、章立てや用語等、統一されました。

従って、組織として実施しなければならないことは、情報全体を対象とするのか、個人情報主体で行いかの違いはありますが、大きな差は無くなってきています。

取得における違いとは？

ISMS（ISO27001）認証、もしくはプライバシーマークの取得する際の違いについて、まとめます。

(1) ISMS（ISO27001）認証では、個人情報を含めて会社が取り扱う情報の危険度に対して優先順位を決めて対応することが対象であるのに対して、プライバシーマークでは、個人情報を守ること（法規制対応含む）の対象となります。

(2) ISMS（ISO27001）認証では、組織の一部に限定して（例えば、一部の工場に限定することも可）取得することができますが、プライバシーマークでは、原則全社（法人単位）で取得しなければなりません。
（ISMS（ISO27001）認証では、企業グループ（例えばNTTグループなど）で取得することもでき、柔軟性を持っています。）

(3)ISMS（ISO27001）認証、プライバシーマークともに、取得をして終わりではなく、定期的な更新を行なう必要があります。
ISMS（ISO27001）認証では、毎年審査があり、3年ごと更新審査を行いますが、プライバシーマークでは2年ごとの更新審査となります。

(4)ISMS（ISO27001）認証では、仕組みや体制が重要で、比較的柔軟にルールを作ることができますが、プライバシーマークでは、個人情報の保護が最大の目的であることから、厳密に規格の運用を求められます。

例えば、プライバシーマーク付与事業者の個人情報の取扱いにおける事故の報告については、「プライバシーマーク付与に関する規約（PMK500）」第5章第11条において、事業者からの事故報告を義務づけ、その適用についてプライバシーマーク付与契約事項としています。

最近の動向

個人情報に対して、権利意識の強い欧州では、GDPR（General Data Protection Regulation：一般データ保護規則）が制定され、EU加盟国での個人情報の取扱いにはGDPが適用されます。

なお、日本の個人情報保護法にも、大きな影響を与えています。

これに対応して、ISO/IEC27701:2019（セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針）が制定され、日本でもこれに基づく認証制度も立ち上がり、ISMS-PIMS認証を取得している企業も出てきました。

ISO27001の取得は当社にお任せください！

最後までご覧いただき、ありがとうございます。

ISO27001要求事項のポイントを理解され、ISMSの構築、運用に興味を持たれましたでしょうか。

適当にISMSの構築、運用してしまうと、せっかく労力をかけ、時間をかけて作った仕組みが上手く機能せず、貴重な情報資産を漏洩したり、壊してしまったり、アクセスできなくなってしまったり・・・お客様へも、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。

当社では経験が豊富で、あなたの会社の課題を解決できるようISMSの構築、運用を支援するコンサルタントが揃っています。

ISMS、ISO27001の構築、運用、スリム化等、ご興味のある方は今すぐこちらまでご相談を！

ISOコム株式会社お問合せ窓口 0120-549-330