各種のセキュリティ認証のなかで、個人情報保護を対象としたプライバシーマークと、情報セキュリティを対象としたISMS認証の2つが、取得する検討対象に上がりやすいものとなります。この2つの認証は、取引条件に設定されるケースが多いことと、すでに取得している社数の多さなどから信頼度が高いことが特徴となっています。
ただし、どちらの認証でも日本国内におけるアピール効果という観点では遜色ありませんが、取得を目指す企業の状況によってメリットの大小は変わる可能性があります。
そこで、これから取得を検討する企業に向け、比較すべきポイントについて解説いたします。
【本レポートでお伝えしたいこと】
- 本レポートでは、プライバシーマークとISMS認証の、様々な面での比較検討について解説します。
- ケース別に、どちらを取得する方が最適と考えられるのか、考察しています。
プライバシーマークとISMS認証の制度比較
プライバシーマークは個人情報保護で、ISMS認証は情報セキュリティと、一般的には理解されていますが、認証の対象となる範囲や審査に関連する作業で詳細を比較すると、かなり差があることが分かります。そして、この差が、それぞれの認証を取得したり維持するためのリソースやコストに反映されることになります。
「それぞれの認証の比較ポイント」
| プライバシーマーク | ISMS認証 | 備考 | |
| 認証の有効範囲 | 原則は日本国内 | 国際標準化機構の参加169か国で有効 | ISMSは国際的な標準規格に準じており、日本国外でも通用する認証となります。 |
| 審査基準 | JIS Q 15001に基づく構築・運用指針 | JIS Q 27001 | プライバシーマークはJIS規格の改定がなくても、法改正等の影響で審査基準は変わる可能性があります。 |
| 適用範囲 | 全社 | 部署やサービス単位で適用範囲を設定 | プライバシーマークは適用範囲を全社に設定することが申請に必須となっています。 |
| 有効期限 | 2年 | 3年(1年毎に維持審査、3年毎に更新審査) | 受審のサイクルでは、ISMS認証は毎年となります。 |
| 審査日程 | 1日 | 適用範囲によるが複数日が多い | プライバシーマークは規模によらず、審査は1日となります。 ※審査時間は規模により6時間~8時間で設定 |
| 審査費用 | 業種・資本金・従業員数により決定される規模区分(大・中・小)に応じて決定 | 審査機関に事前に見積依頼 | ISMS認証は、審査機関により見積金額に差異が発生します。 |
| 新規取得時の申請のタイミング | マネジメントシステム構築後PDCAサイクルを1回転させた後 | 任意(申請申込時に審査時期の要望を伝えて調整) | プライバシーマークは、申請後3~4ヶ月後に審査日程が設定されることが多くなります。 ISMS認証は申請申込時典で審査日程をある程度決めておくため、審査日程に向けて準備を進めるという段取りも可能です。 |
| 審査対象 | 事業の用に供している個人情報の取扱い | 適用範囲における全ての情報資産 | 適用範囲が全社の場合を比較すると、ISMS認証の方が審査対象が広汎となるため、情報資産の特定やリスクアセスメントといったマネジメントシステム構築段階での手間は、プライバシーマークよりも多くかかります。 |
新規認証取得時の作業負担や費用コストについて
どちらの認証も、自社でマネジメントシステムを構築し、PDCAサイクルに基づき、最低1回転運用を行って、教育・監査・マネジメントレビューといった運用記録を作成して、審査機関に申請のうえで審査を受審するという流れは同一となります。
しかし、審査基準を充足するための情報セキュリティ対策を新たに実施する必要性やマネジメントシステム構築にかかる作業負担は、企業により状況は変わりますので一概に言えませんが、プライバシーマークは個人情報のみ対象とすればよいのに対して、ISMS認証は全ての情報資産が対象となるため、対策を実施する範囲が広汎になりやすくなります。
さらに、審査費用については、プライバシーマークよりもISMS認証の方が、同じ事業規模であれば高額になるケースが多くなります。ISMS認証の審査機関の見積基準は、当社調べにおいては公開されていませんが、審査日程の設定がプライバシーマークは1日であるのに、ISMS認証は原則複数日になりますので、その分が審査費用に反映されているものと思われます。
従って、単純に費用面で比較した場合には、総合的にプライバシーマークよりもISMS認証の方が認証取得するための作業負担や費用コストは高くなるケースが多いと思われます。
この点、ISMS認証については、適用範囲を狭く設定することで負担は軽減可能ですが、それが認証取得の目的と合致しているのかどうか(外部へのアピール効果として問題ないかどうかなど)については、慎重な確認を要します。
認証維持に関する作業負担や費用コストについて
取得時の作業負担や費用コストも重要ですが、取得後のランニングコストとなる、認証維持に関する作業負担や費用コストも、比較ポイントになります。
例えば、審査基準が改定されますと、通常の年間運用に加えて、新審査基準への対応作業として内部規程の改定や実施しなければならないイベントの増加といった作業負担が発生します。これは、頻繁に審査基準改定が発生すると、作業負担が増すということにつながります。認証維持に関する事項を、プライバシーマークとISMS認証で比較した結果をご確認ください。
「それぞれの認証の維持に関するコスト」
| プライバシーマーク | ISMS認証 | 備考 | |
| 受審頻度 | 2年毎 | 1年毎 | ISMS認証は有効期限は3年ですが、1年毎の維持審査の受審が必要です。 |
| 申請作業 | 有効期限以前に新規取得時と同等の文書を申請書類として要提出 | 申請書類提出は無し | プライバシーマークは、更新申請にあたって申請書類を準備して提出するという作業が発生します。 |
| 審査基準改定頻度 | JIS規格改定に加え、個人情報保護法や番号法など、関係する法令等の改定の影響も受ける可能性があり、高頻度 | 原則、JIS規格のみが審査基準であり、低頻度 | 個人情報保護法が3年毎に見直しが行われることとなっているため、プライバシーマークの方が高頻度になります。 |
| 更新審査費用 | 事業者規模に変更がなければ新規取得時の75%程度 | 適用範囲に変更がない前提で、維持審査が新規取得時の50%程度、更新審査が75%程度 | 長期に渡って認証を維持する場合、審査費用については、受審頻度が高い分、ISMS認証の方が高くなります。 |
ISMS認証は適用範囲の設定によってランニングコストは大きく変わりますが、プライバシーマークの方が認証維持のための人的な作業負担は大きくなりやすく、一方でISMS認証の方が費用コストについては高くなる可能性が高いということになります。
プライバシーマークとISMS認証の両方取得、あるいは乗り換えについて
よく比較される2つの認証ですが、両方を取得するという選択は可能です。プライバシーマークを取得するために構築が必要な個人情報保護マネジメントシステム(PMS)と、ISMS認証を取得するために構築が必要な情報セキュリティマネジメントシステム(ISMS)は共通事項が多くあるため、内部規程を一部共通としたり、年間で運用するイベントを同時実施することで作業負担を軽減し、両方を取得し、維持していくような対応が可能です。
ただし、よくお受けするお問い合わせで「プライバシーマークとISMS認証で、運用ルールや記録作成、使用様式などを全て共通にしたい」「完全に一体化できないのか」という点については、可能ではあるものの、推奨しづらいものとなります。
この理由としては、ISMS認証の適用範囲が全社ではない場合に、適用範囲外の部署におけるISMS運用ルールをどうするかという課題があること、プライバシーマークとISMS認証でリスクアセスメント手法が大きく異なること、特に個人情報保護法に関する事項については、プライバシーマークとISMS認証の審査では詳細確認されるレベルが大きく異なり、ルールが統一しづらいことなどが挙げられます。
また、いくら運用ルールや使用様式を統一しても、審査はそれぞれの認証で別々になりますから、プライバシーマークの審査員がISMSについて理解しているとは限らず、逆もまた然りですので、審査がスムーズに進まないという可能性も考慮する必要があります。すなわり、運用ルール等を統一する目的である「プライバシーマークとISMSを一体化して運用負荷の軽減をはかりたい」という大きな目標から実態が外れていってしまうということになりかねません。
もう1点、認証の乗り換えですが、プライバシーマークからISMS認証への乗り換えについては、個人情報から情報資産に審査対象が拡大されるため、情報資産の特定という作業が発生します。また、リスクアセスメントは手法が異なるため、やり直し作業が必要です。ただし、それ以外は概ねスムーズに進めることができるものとなります。
逆に、ISMS認証からプライバシーマークへの乗り換えは、情報資産として個人情報も特定済のはずですから、個人情報の特定という作業に関する負担は小さくなります。(リスクアセスメントは、やはりやり直し作業が必要になります)ただし、個人情報保護に関する法令対応はISMS認証より細かいルール策定が必要ですし、要求事項によっては法令よりも厳格な対応が求められますので、新たな運用も必要になってきます。
目的と合致した認証取得について
上述のように、プライバシーマークとISMS認証は、共通する部分がありながらも、作業負担や費用コストを細かく見ていくと、かなり差異があります。このような点を踏まえて、取得するべき認証をどちらにするか検討していく必要があります。重複しますが、2つの認証のメリットをまとめましたので、ご確認ください。
「それぞれの認証のメリットデメリット」
| プライバシーマーク | ISMS認証 | |
| 新規取得時の作業負担 | ISMS認証よりやや負担小 | プライバシーマークよりやや負担大 |
| 認証維持にかかる作業負担 | ISMS認証よりやや負担大 | プライバシーマークよりやや負担小 |
| 申請にかかる作業負担 | 発生 | 無 |
| トータルの審査費用 | 事業規模により固定 | 適用範囲によるが一般的にはプライバシーマークより高い 審査機関により費用に差異有 |
| その他のメリット | 取得社数はISMS認証の約2倍 | 国際認証であり海外に通用する 適用範囲の設定により、認証が必要な部署やサービスに絞った導入が可能 |
結論
総合的な作業負担や費用コストという観点では、プライバシーマークが優位なケースが多くなります。この点が、プライバシーマークの取得社数がISMS認証より多い理由と考えられます。ISMS認証は「海外企業との取引において認証が必要になる(外国の企業にもアピールする必要がある)」「特定の部署のみ認証が必要で全社にはマネジメントシステムを適用したくない」「どちらでもいいが、可能な限り早期に認証が必要」といった目的に対して、メリットがあります。
「なんのために取得するのか」という目的と、取得後も継続して発生する作業負担及び費用コストとの兼ね合いで選択すべきものとなります。
本レポートに関係するコンサルティングサービス
他のレポートを見る
ES-Reports vol.01「企業が無料で情報セキュリティを始める方法」①
「企業が無料で情報セキュリティを始める方法」①では、情報セキュリティに取り組む際に「何から始めればいいのか」「まず何をやるべきなのか」を解説します。
ES-Reports vol.02「企業が無料で情報セキュリティを始める方法」②
「企業が無料で情報セキュリティを始める方法」②では、情報セキュリティに取り組む際に情報セキュリティリスクを管理するためのリスクアセスメントとリスク対応の原則について解説します。
ES-Reports vol.03「セキュリティ認証って取るべき?いらない?」
情報セキュリティに関する第三者認証を取得するべきかどうかの悩みについて、取得した方が良いケースや取得しなくてもよいケースを、ケース別に解説します。
ES-Reports vol.05 「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」とは
2026年度中に制度運用開始予定の「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」について、制度概要や認定の取得方法を解説します。