よくある質問

プライバシーマーク(Pマーク)やISO27001(ISMS)の取得は審査基準を満たす必要があります。

審査基準を満たすには主に以下の活動および記録作成を行わなくてはいけません。

・情報の洗出し　→　社内でどのような情報を利用、保管しているか

・情報のリスク分析　→　情報の取り扱い上、何がリスクで、どのような対策をしているか

・規程の作成　→　情報を適切に取り扱う為のルール作り

・従業員教育　→　ルールの周知、理解度確認

・内部監査　→　ルールが守られているかの確認

上記の活動（運用）を審査の時に、きちんと説明でき、審査員が認めてくれれば取得に至ります。

プライバシーマーク(Pマーク)やISO27001(ISMS)の取得時には以下の活動および記録作成を行っています。

・情報の洗出し　→　社内でどのような情報を利用、保管しているか

・情報のリスク分析　→　情報の取り扱い上、何がリスクで、どのような対策をしているか

・規程の作成　→　情報を適切に取り扱う為のルール作り

・従業員教育　→　ルールの周知、理解度確認

・内部監査　→　ルールが守られているかの確認

取得後、上記は1年に最低1回は、見直し、再実施が必要で、その記録を残す必要があります。

これが一言で言うと、”運用”となります。

更新審査では記録を審査員が確認し、正しく運用がされていることが審査員が認めてくれれば更新に至ります。

何も知識のない方が、自力で進めていくには、かなりの時間と手間がかかります。

学校や資格に合格するためには、書店で多くの参考書や過去問がありますので、独学でもできますが、プライバシーマーク(Pマーク)やISO27001(ISMS)に関しては、制度や基準に関しての書籍はありますが、取得するための具体的なネタは無いと思ってください。

自社で推進しようとすると、制度や基準の理解を行う段階でも多くの時間がかかってしまい、仮にできたとしても、最終的な文書審査・現地審査の時点で多くの指摘を受け、その是正・改善策を検討・報告するのに、また時間がかかってしまうことが予想されます。

コンサル費用は抑えられたとしても、担当者が抱える時間が膨大なため、全体のコストとしては割高になることが予想され、経済的にも労力的にも効率が悪いと言えるでしょう。

プライバシーマーク(Pマーク)やISO27001(ISMS)の認証取得はは会社で何回も取得するものではないので、ほとんどの担当者様は”初めての経験”となります。※前職で担当した方もいらっしゃいますが、稀なケースです

したがって、全く知識が無いのはいたって普通です。

弊社のご支援で取得できなかったお客様はおりません。ご安心いただければと思います。

問題ございません。

ただ、テレワークを行う際に考えられるリスクを洗い出し、情報を適切に取り扱うことができる体制、ルールを作っていく必要があります。

レンタルオフィスという理由で、審査において不適合を受けることはありません。

ただ、個室でないオープンスペースの環境ですと取得はできないと思ってください。

なお、取得できる方法もございますので、ご相談いただければと思います。

必須ではありません。審査基準としてそのような設備を求めている訳ではありません。

自社でリスクが非常に高いという判断であれば、導入を検討してください。

過去事例では、専任者を設置されたお客様はおりません。

皆さま現業の合間に推進活動を行っています。

（これは弊社が決めることではありませんが・・経験からあえて申し上げるとしたら）

プライバシーマーク(Pマーク)は、社内全体を見渡せて、日頃書類管理を行っている総務系の方。

ISO27001(ISMS)は基準がIT関連がほとんどなので、いわゆる情報システム担当の方。

プライバシーマーク(Pマーク)もISO27001(ISMS)も、計画に沿って運用の旗振りをしなければいけないので、営業系というより、管理系の方が向いていると思ってください。

プライバシーマーク(Pマーク)やISO27001(ISMS)の推進では、業務における情報の取り扱いやルールを書類に落とし込まなければいけません。

そういった意味では、一人の担当者だけではできないことが多く、担当者を中心に、各業務担当者を含め、推進チームを発足することとなります。

なお、取得後の維持、更新の準備にも各業務担当者は関係していきます。

まずは、顧客や取引先とやり取りで、何の情報が多いのか、何が重要な情報なのか、何を期待されているのか、という観点で考えてください。
プライバシーマーク(Pマーク)とISO27001(ISMS)の比較はこちらからご確認ください。

プライバシーマーク(Pマーク)やISO27001(ISMS)同時取得は可能です。

ただ、現実論としては、同時ではなく、時期をずらした方が良いと思います。

と申しますのは、プライバシーマーク(Pマーク)とISO27001(ISMS)は似て非なる物ですので、同時期に2つの推進を行うと、お客様側で混乱が起きてしまう可能性があるからです。

例えば、日本史と世界史を同時に勉強したとして、●●●●年に起きたのは、んっ？どれだったか？というようなことが起きると思いますが、そのような混乱があり得ると言うことです。

理論上は可能です。

しかし現実的にはお勧めできません。

と申しますのは、プライバシーマーク(Pマーク)とISO27001(ISMS)は似て非なる物なので、それぞれの要求事項を統合したマニュアルを作ると、逆に、どの条項がどちらで要求している事項なのかが、分かりにくくなります。

また、プライバシーマークとISO27001どちらも精通している審査員はほぼ居ませんので、スムーズな審査を考えると、切り離して管理した方が得策かと思います。

開始から申請まで3か月、申請から認定まで4か月、計7か月程とお考え下さい。

可能です。
プライバシーマーク(Pマーク)は最小は2名の会社から取得可能となります。

2名とは「個人情報保護管理者」「個人情報監査責任者」を兼任せずに設置する必要があるからです。

プライバシーマーク(Pマーク)の取得はできます。

BtC事業を行っていなければ、大量の個人情報は無いかもしれませんが、それでも、取引先、従業員、採用検討者の情報はどの企業様でもお持ちかと思います。

これらの情報も、立派に守るべき情報となります。

どの様な企業様でも自社が思っている以上に個人情報は保有しているのが実情です。

オフィスを他社と共有しているというだけで認定されないということはありません。

ただし、以下の運用が必要となります。

・他社と秘密保持契約などを交わす

・他社にも個人情報保護教育を受講してもらう

・他社にも入退出記録をつけてもらう

・ネットワークやシステムを（物理的でなくても）論理的に分離する

プライバシーマーク(Pマーク)制度では第三者の同席は認めてられていませんことから、同席はいたしません。
一部のコンサル会社では社員を装い同席しているようですが、審査の中断と1年間申請ができないペナルティが下される場合がありますので、くれぐれもご注意下さい。

プライバシーマーク(Pマーク)は試験のような合否という判定ではありません。
現地審査で不適合の箇所を指摘され、後日改善報告書を提出します。そして改善内容が認められた時に認定されるという仕組みです。

コンサル会社の支援は必須ではありません。

現に弊社の場合、半分を超えるお客様は自社のみで運用、更新を行っております。

なお、取得後のコンサルティングには、以下のような支援がございます。

１．各種資料の見直し支援
２．教育資料のご提供
３．内部監査の実施
４．更新申請書類作成支援
５．文書審査是正支援
６．現地審査是正支援
７．運用相談受付

プライバシーマーク(Pマーク)の更新申請は満了日の8か月前から4か月前までの4か月間内に行う必要があります。

例えば、12月1日が満了日の場合、4月2日から8月1日までが申請期間となります。

また準備にかかる期間は2か月間が平均的です。

上記より、4月に申請したければ2月から準備開始、7月に申請したければ5月から準備開始というイメージを持っていただければと思います。

前回の審査以降、自社の何が変わったのかを把握することが重要です。

例えば

・組織体制が変わった
・事業が拡大した
・新たなサービスを利用し始めた
・委託先が増えた
・従業者が増えた、減った

このような変化を把握し、それを関係する書類に反映することが必要となります。

変えることができます。

審査機関を変えても、マーク表示や有効期限は変わりません。

実際多くの取得事業者は取得時の審査機関から変えています。

ただ、JIPDECおよび地域の審査機関以外は、業界団体でありますので、その業界であること、そして団体への入会が前提となります。

ちなみに非常に評判が悪い審査機関もありますので、この辺りはコンサル会社にアドバイスをもらうことをお勧めします。

現地審査は無く、変更申請の届け出で済みます。

次の更新審査は移転した事務所で行われます。

自社が存続会社なのか等により、手続きが異なります。

詳しくはこちらをご覧ください。

決してそうではありません。

IT業界や日頃ITの運用をされている会社であれば、PマークよりISO27001(ISMS)の方が簡単です。

と申しますのは、Pマークに比べISO27001(ISMS)の審査基準は圧倒的にIT関連が多く、IT業界や日頃ITの運用をされている会社にとっては、違和感なく推進できるからです。

費用も20名程の会社様であれば、Pマークと同等、10名程の会社であれば、ISO27001(ISMS)の方がPマークより安くなります。

同じと思ってください。

”ISMS”とは Information Security Management System （情報セキュリティマネジメントシステム）の略語です。

つまり、情報資産をきちんと管理、運用する仕組みの名称です。

”ISO27001”とはISMSを構築、運用するために基準となる認証規格です。

ISO27001(ISMS)は適用範囲を決められるので、可能です。

ただ無条件に適用範囲が決められるかと言うとそうでもありません。

例えば、事業活動は、営業、業務、経理といったプロセスがありますが、その一部（一部の部門）だけで取得することは、不適当であると判断されることがあるからです。

※一部の部門にした場合、客観的な合理性があれば問題はございません

プライバシーマークと異なり、ISO27001(ISMS)の審査機関は数多くあります。

取得後お客様が名刺や資料に印刷するISO27001(ISMS)認定マークは審査機関のマークも並べて利用することが多いです。

よって、審査会社の選定は慎重に行う必要があります。

お客様が構築したISO27001(ISMS)を、認証取得後さらに効果的に運用できるようなアドバイスも行ってくれるような審査機関を選定することが重要です。

たいがいはコンサル会社が推奨する審査機関がありますので、自社で探した審査機関と比較してみることも良いと思います。

審査する審査機関で同席可否のポリシーがあります。

ただ、同席可であっても、コンサルタントの発言を認めない審査機関もございます。

また、コンサルタントの発言を許可している審査機関でも、発言は審査員に対してでなく、受審会社側となります。

そういった意味では、同席可の審査機関でも、当日のことを考えますとコンサル会社への過度な期待はされない方が良いと思います。

ISO27001(ISMS)の更新は3年です。

ただ、ISO27001(ISMS)はその間、1年間に1回維持審査（サーベイランス審査）があります。

初回認定～維持審査（1年後）～維持審査（2年後）～更新審査（3年後）

そして、以降も、維持審査（1年後）～維持審査（2年後）～更新審査（3年後）と続きます。

Pマークは、変更申請を行えば書類上で済みます。

ISO27001(ISMS)の場合、事業所追加や事業拡大を認証範囲にしたいのであれば、拡大審査（事業所、事業）を受けなければなりません。

ただ、事業所追加や事業拡大が、もともとの審査（サーベイランス・更新）時期と近ければ、個別に拡大審査を受けなくても済む場合がございます。

JISQ15001とは、1999年に通産産業省より告示された日本工業規格です。
最新版は2017年度のため、JIS Q 15001:2017となっております。
※例えば2023年に改定されれば、JIS Q 15001:2023となります
別名は「個人情報保護マネジメントシステムの要求事項」(英語略称：PMS(Personal information protection Management System)と呼ばれており、企業が個人情報保護のための体制作りに必要な最低限の要求事項を網羅しています。
マネジメントシステムは代表者による方針のもと、計画（PLAN）、実施（DO）、監査（CHECK）、見直し（ACTION）を繰り返し循環させることで組織の管理能力の継続的な発展を追求してことを目的としています。
プライバシーマーク制度は、このJISQ15001に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマーク（Ｐマーク）を付与し、事業活動に関してプライバシーマークの使用を認める制度です。

プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) により使用を認められる登録商標（サービスマーク）のこと。
Pマークと略して呼ばれることもある。
プライバシーマーク付与の対象は、国内に活動拠点を持つ事業者です。
また、プライバシーマーク付与は、法人単位となり、少なくとも次の条件を満たしている事業者であって、実際の事業活動の場で個人情報の保護を推進している必要があります。
１．JIS Q 15001に準拠した個人情報保護マネジメントシステム―要求事項（以下PMS）を定めていること。
２．PMSに基づき実施可能な体制が整備されており、且つ、個人情報の適切な取扱いが実施されていること。
３．「プライバシーマーク制度における欠格事項及び判断基準」に定める欠格事項のいずれかに該当しない事業者であること。

2023年2月現在で17,334社に付与されています。

ISMSは組織の活動となりますが、この活動には基準があります。
基準として、国際標準化機構（ISO）、国際電気標準会議（IEC）、日本工業規格（JIS）の3つの規格があり、それぞれISO27001、IEC27001、JISQ27001と呼ばれます。
ISO/IEC27001という表記がありますが、これはISOとIECが共同で行っている基準だからです。
さらにJISQ27001は、ISO/IEC27001を日本語訳したもので、ISO/IEC27001と同じ内容です。
なお、基準を満たした組織にはISO27001マークを使用することが認められています。

ISMSとは、Information Security Management Systemの頭文字を取ったもので、日本語では「情報セキュリティマネジメントシステム」となります。
マネジメントとは"管理"、システムは"仕組み"となりますので、"情報セキュリティを管理するための仕組み"と言うことになります。

ISMSでは、情報セキュリティを構成する3つの要素（機密性、可用性、完全性）があり、機密性は「必要のない者にアクセスを許可しない」、可用性は「必要な時にデータが利用でき」、完全性は「データがいつも正しく」といったことです。
セキュリティと聞くと、とかく保護の観点ばかり思いつきますが、ISMSでは、この3つをバランス良く運用することが重要とされています。