プライバシーマークとISMSの違いとは？対象や取得方法を比較

プライバシーマークとISMSの概要

プライバシーマークとISMSは共に情報セキュリティの保護に関わる制度ですが、それぞれの特徴や取得の目的は異なります。まずはプライバシーマークとISMSはどんなものなのか、概要を説明します。

プライバシーマーク

プライバシーマークとは一般財団法人日本情報経済社会推進協会が個人情報の取扱が適切か審査し、基準を満たしている企業に「プライバシーマーク」を付与する制度です。

プライバシーマークの目的は、企業が個人情報の取扱いを適切に行う体制をを整備しているか評価し、消費者の個人情報保護意識の向上を図ることにあります。企業にとってはプライバシーマークを得ることで高いレベルの個人情報保護を行っているとアピールできるメリットがあります。

ISMS

ISMSとは、企業の情報セキュリティを適切に管理する仕組みのことです。名称は情報セキュリティマネジメントシステムを意味する「nformation Security Management Systemの頭文字から取っています。

情報セキュリティマネジメントは企業で扱う情報の「機密性」「完全性」「可用性」を確保することと定義されています。ISMSの目的はこの3つを確保し、改善していくことで情報セキュリティに関するリスク管理をしていると顧客や取引先から信頼を得ることです。

プライバシーマークとISMSの違い

プライバシーマークとISMSは情報を取り扱う規格という点では同じですが、制度の内容や目的に大きな違いがあります。それぞれの異なる点は以下の表の通りです。

①設立の経緯

プライバシーマークの制度はインターネットの発達を理由にした個人情報保護意識の国際的な高まりから設立されました。1995年代に個人情報の保護体制について定めた「EUデータ保護指令」の採択、1997年に経産省が「個人情報保護のガイドライン」を発表した翌年にプライバシーマーク発足しています。

ISMSはもともとは海外の一部情報サービス業のコンピュータシステムの安全対策から始まっています。日本のISMSはイギリスの情報セキュリティの基準「BS7799-2」を土台に作られ、2001年にスタートしました。

②規格

プライバシーマークは「日本工業規格 JISQ15001:2006」という国内のみで通用する規格です。プライバシーマークを取得しても、海外の企業者や消費者に向けて情報セキュリティに関する信頼性をアピールする効果はありません。ISMSの規格は「国際標準規格 ISO/IEC27001：2013」と言い、国際的に適合する規格です。

③制度

プライバシーマークは設立の経緯から分かる通り、あくまで個人情報の保護のみを目的としている制度です。保護対象に個人情報以外の情報資産は含まれていません。ISMSは、企業の個人情報を含む情報資産全体が保護対象になります。そのため、保護する情報の範囲はプライバシーマークよりもおのずと広範囲で多角的になります。

④認証範囲

プライバシーマークは認証の適用範囲が企業全体となります。個人情報を特に取り扱っていない部門であってもプライバシーマークの規格の基準に従って個人情報の取り扱いを行う必要があり、部門、部署によっては負担が重くなります。

ISMSは保護する情報の範囲はプライバシーマークより広くなりますが、取得の際に適用する範囲を選択できます。情報を多く取り扱う部門や企業の中での限定的な取得が可能ですが、その場合、認証の適用範囲外ではISMSマークを使用することはできません。

⑤要求事項

プライバシーマークが企業に要求するのは「適切な個人情報の取り扱い」です。これは、個人情報利用の意思決定や、個人情報を管理するための台帳の整備、個人情報の取得、利用に関する規定作りなど個人情報の取り扱い全般に及びます。

個人情報を適切に保護するための規格が厳密に定められており、そこから逸脱した運用を行うと認証を受けられなくなります。ISMSが企業に要求するのは情報の機密性・完全性・可用性の維持からなる情報セキュリティの管理体制や仕組みの構築です。管理体制や仕組みを築く手順や文書化の方法は厳密に決まっておらず、規格に則っていれば企業ごとの対応が可能です。

⑥更新のタイミング

プライバシーマークもISMSも認証を取得した後も適切に情報が取り扱われているか定期的な更新審査があります。プライバシーマークの更新は2年ごとで、以前の更新からの管理状況や運用状況が審査されます。また、更新申請時には「教育と監査の実施記録」が必要となります。

プライバシーマーク制度は1年に1回以上の教育と監査を企業に求めているため、更新は2年ごとですが「教育と監査の実施記録」は1年毎に作成し、更新申請時には2年分の実績を提出する必要があります。ISMSの更新審査は3年毎ですが、1年毎に維持審査と呼ばれる審査もあります。更新審査は認証範囲の全体の運用を審査し、維持審査は全体ではなく重点的にチェックすべき点を審査します。

⑦費用

認証にかかる費用はプライバシーマークとISMSとはで差があります。一般的にプライバシーマークよりISMSの認証を取得する際にかかる費用の方が高額となります。プライバシーマークは事業規模によって取得にかかる費用が決まり一定ですが、ISMSは審査登録機関によってかかる費用が異なり、毎年の維持審査にかかる費用が追加で発生します。

⑧アピールする対象

プライバシーマークは消費者に向けて情報セキュリティの取り扱いの信頼性をアピールできます。個人情報保護を目的としているため、顧客や取引先企業向けに信頼性をアピールする規格ではありません。ISMSは国内外の取引先企業や委託先に向けて情報セキュリティの取り扱いの信頼性をアピールすることが可能です。

プライバシーマーク・ISMSの取得に適している企業

プライバシーマーク、ISMSはどの企業でも一律に取得が勧められる訳ではありません。企業規模、個人情報の取り扱い方、ビジネスモデルによって適している制度は異なります。プライバシーマーク、ISMSそれぞれの取得に向いている企業を解説します。

プライバシーマーク取得が有効な企業

プライバシーマークの取得が有効な企業は大勢の顧客の個人情報を取り扱うBtoC企業です。百貨店や自動車販売会社、保険会社などが例として挙げられます。

ISMSの取得が有効な企業

ISMSの取得が有効な企業は第一に、自社で直接取得する個人情報が少なく、外部からの情報処理で個人情報を扱うBtoB企業です。大量の個人情報を直接取り扱う必要のない企業の場合、プライバシーマークを取得すると厳密な情報セキュリティの規格を守る負担の大きさと取得のメリットが釣り合わなくなります。

個人情報より自社の情報資産を管理したい企業は費用がかかってもISMSを取得する意義が大きいと言えます。サプライチェーンの関係で取引先の大企業からセキュリティ対策を求められる企業も、プライバシーマークではなくISMSの取得が適していると言っていいでしょう。

プライバシーマークのISMSの違いを見極めてから取得の検討を

プライバシーマークとISMSの違いは「費用の違い」「国内の規格か、国際基準の規格か」という違いだけではありません。企業のビジネススタイルや規模、事業の展開の方向性によってどちらの取得が有効かは異なってきます。

プライバシーマーク、ISMS共に認証と認証後の更新は手間と費用がかかります。個人情報保護や情報セキュリティマネジメントについて自社はどのような対策を取るのか、情報セキュリティのレベルを上げて信頼性をアピールしたい層はどこか見極め、自社にとって有益な認証の取得を検討してください。

適切に個人情報を取り扱う事業者に認められるプライバシーマークですが、このプライバシーマークとよく混同される情報セキュリティに関する認証として、「ISMS」があります。両者では、規格や対象などが異なっており、目的によっては、有名なプライバシーマークよりもISMSの方が適切なこともあります。

どちらを取得すべきか悩まれている方も少なくないのではないでしょうか。今回は、プライバシーマークとISMSの相違点について、それぞれどんな事業者におすすめできるかについてご紹介します。

プライバシーマークとISMSの4つの相違点

「両者とも情報セキュリティを認証するものなら、どちらを選んでも良いのでは…」と考える人もいるでしょう。しかし、プライバシーマークとISMSをよく比べてみると、はっきりと異なる点があります。ここでは、「規格」「対象」「要求」「更新」の4つの観点からそれぞれの相違点を見ていきましょう。

相違点①：規格

プライバシーマークの規格は「日本工業規格 JISQ15001:2006」で、これは「国内でのみ」有効な規格であり、国外事業者が相手だとプライバシーマークは意味をなさないので、海外事業者との取引が多い事業者にプライバシーマークは不向きです。対して、ISMSの規格は「国際標準規格 ISO/IEC27001：2013」です。

日本国内では、「国際標準規格 ISO/IEC27001：2013」を日本語に翻訳した「日本工業規格 JISQ27001：2014」が規格として用いられています。

相違点②：対象

対象はそれぞれ以下の通りです。

プライバシーマーク
従業員も含めた事業者内全ての個人情報を保護する。

ISMS
事業者が保有する適用範囲の情報資産全て（個人情報も含む）を保護する。

プライバシーマークは、事業者の個人情報保護に特化した制度です。ISMSは、資産として価値のある情報すべてが対象となり、その中には財務情報や個人情報などが含まれます。取得ができる範囲も異なり、プライバシーマークは事業者全体が適用範囲となるのに対してISMSでは適用範囲を限定できます。

プライバシーマークには難点があり、情報を保有しないシステム開発部なども適用範囲となってしまいます。ISMSなら事業所・部門・事業単位での取得が可能なため、例えば適用範囲を総務部、経理部の2部署のみに限定して効率的に運用することも可能です。範囲を限定した場合は、対象外の部署でISMSを利用できないため、注意が必要で、名刺などにも表記できなくなります。

相違点③：要求される事項

プライバシーマークとISMSでは、要求している事項も異なります。プライバシーマークが事業者に求めているのは、「適切な個人情報の取り扱い」です。事業者が保有している個人情報を適切に取り扱い、保護することを求めています。

そのための「合理的な安全策」として手順や作成する文書など規格が細かく定められており、例えば、顧客から個人情報を取得する際には必ず同意書が必要で、かつ利用目的を記載しておかなければいけません。規格から少しでも外れた場合は、プライバシーマークの取得は不可能です。

一方、ISMSが事業者に求めているのは、「情報の機密性・完全制・可用性の維持」です。決められたルールの中で適切に情報を取り扱うよりも、情報資産を保護する仕組みや体制づくりを求めています。

ISMSは、114個にも及ぶ具体的な管理策を提示しており、その上でマネジメントシステムを構築しています。ただし、「絶対にこうしなければいけない」という手順やルールはなく、管理策から事業者に合わせたものを選んで体制づくりを行うことが可能です。

相違点④：更新頻度

プライバシーマークの更新は2年毎。内部監査や従業員の個人情報保護に対する教育は1年毎に行う必要があります。一方、ISMSの更新審査は3年毎。しかし更新審査だけでなく、1年毎に維持審査と呼ばれるものがあります。

プライバシーマーク取得がおすすめな事業者とは
プライバシーマークが向いているのは、個人情報を多く保有している事業者です。プライバシーマークの細かい規定を守り続けるのは大変ですが、合理的かつ安全に情報を保護するためにはとても効果的です。運用を続けることで、従業員の個人情報に対する意識改善にも繋がります。重要な個人情報を取り扱っており、それが漏えいすることで大きな損害を被る可能性がある事業者は、プライバシーマークの規格に沿って徹底的に情報保護しておいた方が安心でしょう。

ISMS取得がおすすめな事業者とは

国外事業者との取引があったり海外拠点を保持したりしている事業者の場合は、ISMSの方がおすすめです。プライバシーマークは国内でしか適用されないため、せっかく取得しても海外では活用することができません。また、事業者の実態に合わせて柔軟に情報セキュリティを守っていきたい事業者の場合も、ISMSの方がおすすめです。

プライバシーマークとISMSの違いを理解し、自社に合う制度を検討しよう

今回は、プライバシーマークとISMSの違いについてご紹介しました。よく似た制度ですが、実は中身は大きく異なるプライバシーマークとISMS。どちらを選べばよいか迷ったときには、「今後どのように事業を展開していきたいか」「現在どのような情報を扱っているのか」について考えてみてください。事業者の実態に合った方を選び、個人情報を適切に保護していきましょう。