両制度の共通点としては、組織内のセキュリティ保護のインフラ整備や構成員への教育、(内部)監査、経営者レビューなどがあり、
常にPDCAのマネジメントサイクルを回せれば、組織にとって有効な活動となります。
以下に主な違いを説明します。
| 保護の対象 | |
| ISMS | 組織が保護すべき情報資産を識別し、セキュリティ対策を実施します。 |
| Pマーク | 組織が取り扱う個人情報を特定し、個人情報の保護対策を実施します。 |
| 適用範囲 | |
| ISMS | 組織の必要に応じて、適用範囲を決定することができます。 |
| Pマーク | 全社的な取り組みが基本となります。 |
| 適用範囲 | |
| ISMS | 組織の必要に応じて、適用範囲を決定することができます。 |
| Pマーク | 全社的な取り組みが基本となります。 |
| 管理範囲 | |
| ISMS | 基本的に、組織の事業活動全般およびリスク全般を考慮し、事業上の要求事項、法的又は規制要求事項に対するリスクアセスメントによりセキュリティ対策(管理策)を実施します。 |
| Pマーク | 個人情報の安全管理策を実施するだけでなく、管理する個人情報について本人の権利に対応することも含まれます。 即ち、情報取得時には事前に利用目的などを伝えた上で本人の同意をとることが必要であり、取得後も本人からの修正・削除などの要望に応じるなどの必要があります。 |
| 企画と作成文章 | |
| ISMS | JIS Q 27001(ISMS認証基準Ver2.0はJIS Q 27001に移行)の要求事項に従い、組織のリスクアセスメントに基づいてISMS文書を作成します。 ISMS認証基準(Ver.2.0)について |
| Pマーク | JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項に従って、組織がマネジメントシステムを作成します。 実施のためのガイドライン(第一版) |
| 配慮事項 | |
| ISMS | 組織の事業継続や、運用コストも配慮した総合的な観点でセキュリティ対策の取り組みがされているかが重要なポイントとなります。 |
| Pマーク | 個人情報の安全管理策を構築することに加えて、本人の権利に対する要求への管理策が必要となります。 また、個人が対象となるために、苦情処理窓口を準備して対応するなどの消費者程の側面を考慮する必要があります。 |