Pマーク・ISMSに関する
よくあるご質問と回答をまとめました。

ワークストラストに寄せられた、よくある質問と回答をご紹介します。
こちらに記載のないご質問は、お電話またはメールフォームにてお問い合わせください。

全般

取得するには何を行うのですか

プライバシーマーク(Pマーク)やISO27001(ISMS)の取得は審査基準を満たす必要があります。

審査基準を満たすには主に以下の活動および記録作成を行わなくてはいけません。

・情報の洗出し → 社内でどのような情報を利用、保管しているか

・情報のリスク分析 → 情報の取り扱い上、何がリスクで、どのような対策をしているか

・規程の作成 → 情報を適切に取り扱う為のルール作り

・従業員教育 → ルールの周知、理解度確認

・内部監査 → ルールが守られているかの確認

上記の活動(運用)を審査の時に、きちんと説明でき、審査員が認めてくれれば取得に至ります。

更新するためには何を行うのですか

プライバシーマーク(Pマーク)やISO27001(ISMS)の取得時には以下の活動および記録作成を行っています。

・情報の洗出し → 社内でどのような情報を利用、保管しているか

・情報のリスク分析 → 情報の取り扱い上、何がリスクで、どのような対策をしているか

・規程の作成 → 情報を適切に取り扱う為のルール作り

・従業員教育 → ルールの周知、理解度確認

・内部監査 → ルールが守られているかの確認

取得後、上記は1年に最低1回は、見直し、再実施が必要で、その記録を残す必要があります。

これが一言で言うと、”運用”となります。

更新審査では記録を審査員が確認し、正しく運用がされていることが審査員が認めてくれれば更新に至ります。

自社だけ(自力)でも取得できますか

何も知識のない方が、自力で進めていくには、かなりの時間と手間がかかります。

学校や資格に合格するためには、書店で多くの参考書や過去問がありますので、独学でもできますが、プライバシーマーク(Pマーク)やISO27001(ISMS)に関しては、制度や基準に関しての書籍はありますが、取得するための具体的なネタは無いと思ってください。

自社で推進しようとすると、制度や基準の理解を行う段階でも多くの時間がかかってしまい、仮にできたとしても、最終的な文書審査・現地審査の時点で多くの指摘を受け、その是正・改善策を検討・報告するのに、また時間がかかってしまうことが予想されます。

コンサル費用は抑えられたとしても、担当者が抱える時間が膨大なため、全体のコストとしては割高になることが予想され、経済的にも労力的にも効率が悪いと言えるでしょう。

全く知識が無いのですが取得はできますか

プライバシーマーク(Pマーク)やISO27001(ISMS)の認証取得はは会社で何回も取得するものではないので、ほとんどの担当者様は”初めての経験”となります。※前職で担当した方もいらっしゃいますが、稀なケースです

したがって、全く知識が無いのはいたって普通です。

弊社のご支援で取得できなかったお客様はおりません。ご安心いただければと思います。

コロナ渦で従業員がテレワーク勤務ですが、取得はできますか

問題ございません。

ただ、テレワークを行う際に考えられるリスクを洗い出し、情報を適切に取り扱うことができる体制、ルールを作っていく必要があります。

レンタルオフィスでも取得はできますか

レンタルオフィスという理由で、審査において不適合を受けることはありません。

ただ、個室でないオープンスペースの環境ですと取得はできないと思ってください。

なお、取得できる方法もございますので、ご相談いただければと思います。

取得には、ドアを電子錠に変えたり、サーバールームの設置などは必須ですか

必須ではありません。審査基準としてそのような設備を求めている訳ではありません。

自社でリスクが非常に高いという判断であれば、導入を検討してください。

取得するために専任者は必要ですか

過去事例では、専任者を設置されたお客様はおりません。

皆さま現業の合間に推進活動を行っています。

担当者はどのような人がなるべきか

(これは弊社が決めることではありませんが・・経験からあえて申し上げるとしたら)

プライバシーマーク(Pマーク)は、社内全体を見渡せて、日頃書類管理を行っている総務系の方。

ISO27001(ISMS)は基準がIT関連がほとんどなので、いわゆる情報システム担当の方。

プライバシーマーク(Pマーク)もISO27001(ISMS)も、計画に沿って運用の旗振りをしなければいけないので、営業系というより、管理系の方が向いていると思ってください。

取得するための体制は必要ですか

プライバシーマーク(Pマーク)やISO27001(ISMS)の推進では、業務における情報の取り扱いやルールを書類に落とし込まなければいけません。

そういった意味では、一人の担当者だけではできないことが多く、担当者を中心に、各業務担当者を含め、推進チームを発足することとなります。

なお、取得後の維持、更新の準備にも各業務担当者は関係していきます。

プライバシーマークとISO27001のどちらを取得すべきですか

まずは、顧客や取引先とやり取りで、何の情報が多いのか、何が重要な情報なのか、何を期待されているのか、という観点で考えてください。
プライバシーマーク(Pマーク)とISO27001(ISMS)の比較はこちらからご確認ください。

プライバシーマークとISO27001を同時に取得できますか

プライバシーマーク(Pマーク)やISO27001(ISMS)同時取得は可能です。

ただ、現実論としては、同時ではなく、時期をずらした方が良いと思います。

と申しますのは、プライバシーマーク(Pマーク)とISO27001(ISMS)は似て非なる物ですので、同時期に2つの推進を行うと、お客様側で混乱が起きてしまう可能性があるからです。

例えば、日本史と世界史を同時に勉強したとして、●●●●年に起きたのは、んっ?どれだったか?というようなことが起きると思いますが、そのような混乱があり得ると言うことです。

プライバシーマークとISO27001の統合マニュアルは出来ますか

理論上は可能です。

しかし現実的にはお勧めできません。

と申しますのは、プライバシーマーク(Pマーク)とISO27001(ISMS)は似て非なる物なので、それぞれの要求事項を統合したマニュアルを作ると、逆に、どの条項がどちらで要求している事項なのかが、分かりにくくなります。

また、プライバシーマークとISO27001どちらも精通している審査員はほぼ居ませんので、スムーズな審査を考えると、切り離して管理した方が得策かと思います。

Pマーク(新規)

活動を開始してから取得までどれくらいの期間がかかりますか

開始から申請まで3か月、申請から認定まで4か月、計7か月程とお考え下さい。

 

5名の会社でPマークの取得はできますか

可能です。
プライバシーマーク(Pマーク)は最小は2名の会社から取得可能となります。

2名とは「個人情報保護管理者」「個人情報監査責任者」を兼任せずに設置する必要があるからです。

個人情報はほとんどありませんが、Pマークは取得できますか

プライバシーマーク(Pマーク)の取得はできます。

BtC事業を行っていなければ、大量の個人情報は無いかもしれませんが、それでも、取引先、従業員、採用検討者の情報はどの企業様でもお持ちかと思います。

これらの情報も、立派に守るべき情報となります。

どの様な企業様でも自社が思っている以上に個人情報は保有しているのが実情です。

オフィスを他社と共用していますが取得は可能ですか

オフィスを他社と共有しているというだけで認定されないということはありません。

ただし、以下の運用が必要となります。

・他社と秘密保持契約などを交わす

・他社にも個人情報保護教育を受講してもらう

・他社にも入退出記録をつけてもらう

・ネットワークやシステムを(物理的でなくても)論理的に分離する

Pマークの審査で同席してくれますか

プライバシーマーク(Pマーク)制度では第三者の同席は認めてられていませんことから、同席はいたしません。
一部のコンサル会社では社員を装い同席しているようですが、審査の中断と1年間申請ができないペナルティが下される場合がありますので、くれぐれもご注意下さい。

Pマークの審査で落ちることはあるのでしょうか

プライバシーマーク(Pマーク)は試験のような合否という判定ではありません。
現地審査で不適合の箇所を指摘され、後日改善報告書を提出します。そして改善内容が認められた時に認定されるという仕組みです。

取得した後も、コンサル会社の支援は必要ですか

コンサル会社の支援は必須ではありません。

現に弊社の場合、半分を超えるお客様は自社のみで運用、更新を行っております。

なお、取得後のコンサルティングには、以下のような支援がございます。

1.各種資料の見直し支援
2.教育資料のご提供
3.内部監査の実施
4.更新申請書類作成支援
5.文書審査是正支援
6.現地審査是正支援
7.運用相談受付

Pマーク(更新)

Pマークの更新準備はいつごろから始めた方が良いですか

プライバシーマーク(Pマーク)の更新申請は満了日の8か月前から4か月前までの4か月間内に行う必要があります。

例えば、12月1日が満了日の場合、4月2日から8月1日までが申請期間となります。

また準備にかかる期間は2か月間が平均的です。

上記より、4月に申請したければ2月から準備開始、7月に申請したければ5月から準備開始というイメージを持っていただければと思います。

 

更新審査の準備で気をつけることは

前回の審査以降、自社の何が変わったのかを把握することが重要です。

例えば

・組織体制が変わった
・事業が拡大した
・新たなサービスを利用し始めた
・委託先が増えた
・従業者が増えた、減った

このような変化を把握し、それを関係する書類に反映することが必要となります。

審査機関は変えられますか

変えることができます。

審査機関を変えても、マーク表示や有効期限は変わりません。

実際多くの取得事業者は取得時の審査機関から変えています。

ただ、JIPDECおよび地域の審査機関以外は、業界団体でありますので、その業界であること、そして団体への入会が前提となります。

ちなみに非常に評判が悪い審査機関もありますので、この辺りはコンサル会社にアドバイスをもらうことをお勧めします。

事務所を移転した時、審査はありますか

現地審査は無く、変更申請の届け出で済みます。

次の更新審査は移転した事務所で行われます。

認定中に吸収合併があった場合はどうなりますか

自社が存続会社なのか等により、手続きが異なります。

詳しくはこちらをご覧ください。

ISMS(新規)

Pマークに比べ取得は大変ですか

決してそうではありません。

IT業界や日頃ITの運用をされている会社であれば、PマークよりISO27001(ISMS)の方が簡単です。

と申しますのは、Pマークに比べISO27001(ISMS)の審査基準は圧倒的にIT関連が多く、IT業界や日頃ITの運用をされている会社にとっては、違和感なく推進できるからです。

費用も20名程の会社様であれば、Pマークと同等、10名程の会社であれば、ISO27001(ISMS)の方がPマークより安くなります。

ISMS取得とISO27001取得は違うのですか

同じと思ってください。

”ISMS”とは Information Security Management System (情報セキュリティマネジメントシステム)の略語です。

つまり、情報資産をきちんと管理、運用する仕組みの名称です。

”ISO27001”とはISMSを構築、運用するために基準となる認証規格です。

一部の部門でISO27001を取得はできますか

ISO27001(ISMS)は適用範囲を決められるので、可能です。

ただ無条件に適用範囲が決められるかと言うとそうでもありません。

例えば、事業活動は、営業、業務、経理といったプロセスがありますが、その一部(一部の部門)だけで取得することは、不適当であると判断されることがあるからです。

※一部の部門にした場合、客観的な合理性があれば問題はございません

審査機関はどこに頼めば良いのですか

プライバシーマークと異なり、ISO27001(ISMS)の審査機関は数多くあります。

取得後お客様が名刺や資料に印刷するISO27001(ISMS)認定マークは審査機関のマークも並べて利用することが多いです。

よって、審査会社の選定は慎重に行う必要があります。

お客様が構築したISO27001(ISMS)を、認証取得後さらに効果的に運用できるようなアドバイスも行ってくれるような審査機関を選定することが重要です。

たいがいはコンサル会社が推奨する審査機関がありますので、自社で探した審査機関と比較してみることも良いと思います。

ISO27001の審査で同席はできますか

審査する審査機関で同席可否のポリシーがあります。

ただ、同席可であっても、コンサルタントの発言を認めない審査機関もございます。

また、コンサルタントの発言を許可している審査機関でも、発言は審査員に対してでなく、受審会社側となります。

そういった意味では、同席可の審査機関でも、当日のことを考えますとコンサル会社への過度な期待はされない方が良いと思います。

ISMS(更新)

ISO27001の更新は何年間ですか

ISO27001(ISMS)の更新は3年です。

ただ、ISO27001(ISMS)はその間、1年間に1回維持審査(サーベイランス審査)があります。

初回認定~維持審査(1年後)~維持審査(2年後)~更新審査(3年後)

そして、以降も、維持審査(1年後)~維持審査(2年後)~更新審査(3年後)と続きます。

認定後に事業所追加や事業拡大があった場合はどうなりますか

Pマークは、変更申請を行えば書類上で済みます。

ISO27001(ISMS)の場合、事業所追加や事業拡大を認証範囲にしたいのであれば、拡大審査(事業所、事業)を受けなければなりません。

ただ、事業所追加や事業拡大が、もともとの審査(サーベイランス・更新)時期と近ければ、個別に拡大審査を受けなくても済む場合がございます。

お問い合わせ

ワークストラストに無料で相談してみませんか?

050-3722-1290

営業時間 9時~18時(土日祝除く)

  • プライバシーマーク(Pマーク)取得・更新ガイド
  • ISO27001(ISMS)取得・更新ガイド
  • ファイルアクセスログ取得ソフト LogZoは業界最安値の2千円
  • プライバシーマーク(Pマーク)・ISO27001(ISMS)教育、点検サービス