徹底比較!プライバシーマークとISMS(ISO27001)の違いとは?
情報セキュリティの認証制度であるプライバシーマークとISMS/ISO27001。
よく比較されるこの2つの認証のうち、どちらを取得するのが自社にとって最適なのか、判断に迷われている事業者様が多くあります。
そこで、ここでは4つの側面から、各認証がどのように違うのか、比較・検証していきたいと思います。
セキュリティ対象の違いについて
まず、この2つの認証制度は、それぞれ情報セキュリティを実施する対象が違います。
プライバシーマーク(JIS Q 15001)での保護対象が個人情報のみに限定されるのに対し、ISMS/ISO27001は情報資産全般が保護の対象になります。
そしてプライバシーマークは、会社全体で取り組みを行うことになりますが、ISMS/ISO27001は、事業所・部門等、取り組みの範囲を限定して認証を受けることができます。
簡単にまとめると、以下の表のようになります。
| ― | 保護対象 | 保護範囲 |
|---|---|---|
| プライバシーマークPマーク | 個人情報のみ | 全社 |
| ISMS/ISO27001 | 情報資産全て | 範囲限定可(事業所・部門他) |
上記特性の違いから考えれば、顧客情報などの個人情報を多く保有している場合はプライバシーマーク、外部から預かる情報資産などが多い場合はISMS/ISO27001が向いていると言えます。
認証の普及について
次に、それぞれのマークの普及数を見てみます。
プライバシーマークの保有組織は、平成29年2月7日現在で、15,129組織(2017年2月7日現在)。一方、ISMS/ISO27001は、5036組織(2017年1月10日現在)です。いずれも一般財団法人日本情報経済社会推進協会(JIPDEC)ウェブサイトより。
ですので、プライバシーマークの方が、約3倍ほど多く普及していることになります。
そして気になるのが、今後どちらの認証が伸びていくのかということです。
以下、過去のデータから検証していきたいと思います。
まず、プライバシーマークから。
年度別プライバシーマーク付与事業者数(累計)
上記は累計数です。更新辞退、廃業などでプライバシーマークを返上する事業者もありますので、それらを除いた2017年2月7日現在のマーク保有事業者数は、上述のとおり、15,129です。
上図から、個人情報保護法が施行された2005年(平成17年)前後に取得数が大きく伸び、その後は若干落ち着いてきていることがわかります。
直近の3年を見ると、年間1000件程度の新規取得があることが分かります。
一方、ISMS/ISO27001はどうでしょうか。
ISMS/ISO27001認証取得組織数推移(累計)
こちらも順調に普及して行っているように見えます。
ただ、近年の取得数の増加は年間100~200件程度で、プライバシーマークと比較すると、少し伸び率が鈍く感じます。
ここまでのことから、現時点ではプライバシーマークの方がシェアが広く、今後も普及率において優位である可能性が高いと言えます。
業務上の負担と難易度について
そして、業務上の負担も大きなポイントです。
一般的には、プライバシーマークよりISMS/ISO27001の方が難易度が高く、負担が大きいと思われがちですが、実際はその逆になることもあり、一概には言えないところがあります。
というのは、プライバシーマークは、要求される安全管理項目全てをクリアする必要があるのに対して、ISMS/ISO27001は、133の管理策が示されていますが、その全てを実施する必要がなく、業務の実態に合わせて、不要と思われる項目を除外することが出来るからです。
そして、前述のように実施部門を限定することで、さらに負担を少なくすることも可能です。
つまり、ISMS/ISO27001は、自社の裁量で業務上の負担が大きく変動する特徴があります。
費用の比較
取得・更新費用は、ISMS/ISO27001の方が大幅に高くなります。
本社のみ従業員50名程度の会社で比較すると、新規取得時に審査機関に支払う金額は、プライバシーマークが約62万円、ISMS/ISO27001は、約90~100万円になります。
そして、プライバシーマークは更新審査で2年ごとに約46万円かかり、ISMS/ISO27001については、3年ごとの更新審査に約70万円、さらに維持審査を2回受ける必要があり、約50万円×2回が必要ですので、3年で約170万円となります。ISMS/ISO27001の審査費用は審査機関によって若干変動します。詳しくは、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)のISMS認証機関一覧に掲載されている審査機関にお問い合わせください。
費用面で考えると、プライバシーマークの方が比較的導入しやすいということが言えそうです。
最後に
よく比較されるプライバシーマークとISMS/ISO27001ですが、企業の目的や状況によって、最適な選択が変わります。
運用における業務負担については、一概に比較できませんので、「目的」と「コスト」で選択するのも良いかと思います。小規模事業者様であれば、コストと認知度を重視し、プライバシーマークから始めても良いかもしれません。一方、ISMS/ISO27001を運用することは、大きな費用を投入していることの証明でもありますので、BtoB業務において、経営の安定性をアピールするのに役立つという考え方もあります。
どちらにせよ、企業として大きなアクションを起こすことになりますので、可能な限り慎重に選択していただければと思います。
関連記事
プライバシーマークとは簡単に言うと、企業などの事業者が個人情報保護の体制を適切に整備しているこ...
