プライバシーマーク(Pマーク)とISO27001(ISMS)の違い

By: Chris Potter
By: Chris Potter

プライバシーマーク(Pマーク)とISO27001(ISMS)をどちらを取得すべきかご検討の方へ。
特徴を比較しましたので是非参考にしてください。

まとめると、
プライバシーマーク取得に向いているのは、
●対個人向けのサービス、販売を行っているBtoCの企業様
●中小企業向けのサービス、販売を行っているBtoBの企業様

ISO27001(ISMS)取得に向いているのは、
●中堅企業以上向けのサービス、販売を行っているBtoBの企業様
●プライバシーマークを既に取得している企業様

となります。

特徴1:審査費用
ISO27001(ISMS) > プライバシーマーク

審査機関に支払う取得費用及び更新費用は、ISO27001(ISMS)の方が高くなります。

1拠点従業員50名程の企業で比較すると、プライバシーマーク取得時に審査機関に払う費用は約60万円(一律)です。
ISO27001(ISMS)は大体100万円ぐらいです。

更新については、プライバシーマークは有効期間が2年となっており、有効期間が切れる前に更新審査を受ける必要があります。2年に1度の更新審査費用は約45万円(一律)です。

ISO27001(ISMS)は、有効期間が3年となっており、プライバシーマークと違い期限前に更新審査を受けるだけではなく、1年毎に維持審査、期限前に更新審査を受ける必要があります。
つまり、有効期間3年間に維持審査×2回と更新審査を受けることになります。
維持審査費用は50万円ほど、更新審査費用は70万円ほどかかります。
3年間で170万円ほど必要となります。

尚、プライバシーマークの審査費用は一律ですが、ISO27001(ISMS)の場合、審査費用の金額に差があるのは以下の特徴があるからです。

特徴2:審査機関
プライバシーマークは原則審査機関を選ぶことが出来ず、登記簿上の本社所在地を管轄する審査機関にしか申請出来ません。また、取得時更新時の審査費用は一律で決まっており審査機関によって差はありません。

ISO27001(ISMS)は審査機関を選択することが出来、また審査機関によって審査費用が変わります。
そのため、複数の審査機関に見積もりをもらい、金額等を考慮して審査機関を選択することが可能となっています。

特徴3:取得単位
プライバシーマークは全ての支社支店を含む法人単位での取得となります。

ISO27001(ISMS)は取得する範囲を決めることが可能で、例えば本社のみ取得、例えば管理部門のみ取得、など支社単位、部門単位で取得することが出来ます。

支社支店が多い企業の場合、オフィスビル毎にレイアウトやセキュリティシステムも変わるので一律のセキュリティルールを定めることが難しい場合があります。
そのような場合、法人単位でしか取得出来ないプライバシーマークより、ISO27001(ISMS)が向いていると言えます。

特徴4:国際規格
ISO27001(ISMS)は、国際規格ですが、プライバシーマークは日本独自の規格となります。
そのため、規格自体の格は、ISO27001(ISMS)が高いと言われています。

また、プライバシーマーク取得企業と比べると、ISO27001(ISMS)の取得企業はある一定の規模以上であることも特徴です。
こちらは、単純に審査費用がプライバシーマークよりも高い(約2倍から3倍)ので、ある程度規模の会社しか取得更新が出来ないということも理由となります。

特徴5:取得のむずかしさ
結論から言うと、特に変わりません。
ISO27001(ISMS)の方がプライバシーマークよりも難しいとよく言われていますが、むしろその逆のケースが生じます。

プライバシーマークの場合、安全管理措置の項目全てにおいて除外することが出来ません。全ての項目について安全管理を行う必要があります。
ISO27001(ISMS)の場合、あらかじめ133の管理策が示されており、その133の項目を全て対策する必要はなく、除外することが出来ます。
表現としては除外というよりは、133の管理策の内で対策を行う管理策をあらかじめ選択しておくことが出来ると言う表現になりますが、事実上除外することが可能です。

極端な話、133の内、30の管理策しか対策しないことも可能です。
また、上でも記載しましたが、取得単位を本社だけや、部門だけに絞ることでさらに簡単に取得することが可能です。

つまり、ISO27001(ISMS)はどこまで対策していくかを選択できる特徴を持っており、自社の判断によって難易度が大きく変わるということです。
ISO27001(ISMS)は、全ての管理策をきちんと対策していくとなると、プライバシーマークよりも範囲が広く難しくなりますが、対策範囲を狭めることでプライバシーマークよりも簡単に取得することも可能となります。

特徴6:個人消費者への認知度
個人消費者=一般の方において、プライバシーマークの方が認知度は高くなります。
ISO27001(ISMS)については、一般の方はほとんど知らないケースが多いです。

そのため、個人消費者向けのサービスや販売を行っている企業様は、プライバシーマークの取得をお勧めします。
ISO27001(ISMS)を取得しても、認知されなければ意味がないからです。

ISO27001(ISMS)は、法人に対してサービスや販売を行っている、特にある程度の規模以上に法人に対してビジネスを行っている企業様は取得をお勧めします。
ISO27001(ISMS)は、取得においても更新維持においてもお金がかかる旨は上記で伝えましたが、つまり、ISO27001(ISMS)取得企業は、きちんと更新していくだけの資金力がある企業である証明にもなります。
そのため、ビジネスパートナーとしての信頼性と言う点においては、ISO27001(ISMS)は非常にアピールにつながります。

Pマーク取得セミナーを開催します
 

Pマークは難しいと誤解していませんか?

Pマークの取得を検討している方の多くが、Pマークについて誤解をしています。実はPマークの取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「Pマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

セミナーの詳細や日程については下記よりご参照ください。

The following two tabs change content below.
酒井 教彰

酒井 教彰

2003年より大手コンサルティング会社所属コンサルタントとしてプライバシーマーク及びISO規格コンサルティング携わり、2010年以降、独立コンサルタントとして数多くのプライバシーマーク取得に携わる。 現在までに導入から取得まで一貫して携わったプライバシーマークコンサルティング実績350社以上。 30代コンサルタントとして国内トップクラスの実績を持つ。 大手会社のコンサルティングをメインとしてた会社所属コンサルタント時代とは違い、自身が中小企業経営者の立場となった経験を踏まえ、業務の忙しい中小企業でも「片手間で、兼業担当者1人いれば取得できる」スリム化されたコンサルティングをモットーとしている。

コメントする

*
*
* (公開されません)