プライバシーマークとISMSとの違い
ISMSとPマーク、どちらが良いのか?
情報セキュリティに関する認証でよく話にあがるのが、
「PマークとISO27001/ISMSのどちらを取得すべきか」という点です。
悩まれる方は事業活動の中で取り扱う情報資産や個人情報にどのようなものが多いかを
考えていただくと良いかと思います。
事業活動の中で取り扱う情報に個人情報が多い場合はPマークをお勧めしますし、
逆に個人情報は社内の情報くらいしかないが、社外とは技術情報や機密情報のやりとりが多い場合は
ISO27001/ISMSの認証取得をお勧め致します。
ISMSとPマークの違いを簡単に比較すると以下のようになります。
| ISO27001/ISMS | Pマーク | |
|---|---|---|
| 規格 | 国際標準規格 ISO/IEC27001:2005 日本工業規格 JISQ27001:2006 |
日本工業規格 JISQ15001:2006 |
| 対象 | 適用範囲内の全ての情報資産全般 (ハードやソフト、当然に個人情報も含まれる) |
企業内のすべての個人情報 (従業員の個人情報も含まれる) |
| 事業所単位、部門単位、事業単位も可 | 企業全体 | |
| 要求 | 情報の機密性・完全性・可用性の維持 (情報資産の重要性、リスクに応じた適切な情報セキュリティ) ※個人情報については、個人情報保護法および契約上の要求事項の順守が求められる。 |
適切な個人情報の取り扱い (個人情報の取得、利用、共同利用、委託、提供、安全管理(情報セキュリティ)、開示等要求対応、苦情対応など) ※個人情報保護法を包括する厳格な取り扱いが求められる。 |
| 更新 | 3年毎,及び毎年の継続審査 | 2年毎 |
| セキュリティ対策 | 133項目の詳細管理策 | 合理的な安全対策 |
