PマークとISMSのどちらを取得するか
PマークとISMS(ISO27001)のどちらを取得するか、特にビジネス上の指定がない場合には悩んでいる会社も多いです。コンサル会社に相談すると、自社に取ってどちらがよいかを説明してくれますが、ぼんやりとしたイメージしかつかめないまま、コンサル会社の言われた通りの方を選んでしまうこともあります。そのようなことがないように、きちんと自社に取ってどちらが有用かを考えましょう。
規格と対象
PマークはJIS Q15001:2006、ISMSはISO27001:2013(JIS Q 27001:2014)に準拠しているかどうかを認証するものです。PマークはPMS(個人情報保護マネジメントシステム)を原則としているのに対して、ISMSは情報セキュリティマネジメントシステムが原則となります。つまり、Pマークは個人情報保護のためのマネジメントシステムを構築・運用することが求められ、ISMSは情報資産を保護することが求められています。もちろん個人情報も情報資産に含みますので、ISMSの方がより広範囲を保護するという考え方もあります。
PマークとISMSの取得企業数
Pマークは約15,000社、ISMSは約5000社が日本国内で認証を取得しています。PマークはISMSの約3倍の取得企業数となっています。また、一般の認知度という意味でもPマークがリードしていると言えるでしょう。
メリット
入札要件やビジネス要件で「Pマーク」あるいは「ISMS」が求められるケースが増えていますが、Pマークのみしか認められないケースもあります。逆のパターンは少ないようです。特に地方自治体や官公庁などの仕事の場合はISMSでは要件を満たさないことが多いようです。純粋にビジネス範囲の拡大という意味でのみ考えるのであればPマークの方が安全でしょう。
審査費用とコンサル費用
審査費用は、Pマークの場合は事業者の規模によって3段階で一律です。ISMSの場合は拠点数と従業者数によって決まりますが、審査機関によって金額に幅があります。全体としてみると、ISMSの方が審査費用が高いケースの方が多いようです。また、コンサルティング費用もISMSの方がより専門的な知識を求められるため金額が高いことが多いようです。
概算の金額はコンサル会社に確認してもよいですし、直接審査機関に問い合わせてもよいでしょう。
審査方法
Pマークの審査は、ガイドラインにもとづき非常に細かい部分まで要求される項目が決まっています。逆にISMSは規格に準拠しながらも自社で構築したマネジメントシステムを審査するため、非常に自由度が高い審査と言えますが、決められたことをやればよいわけではないのである意味難しい審査と言えます。