(東京都・コンピュータシステム開発)PマークとISO27001のマネジメントシステム統合
業種:コンピュータシステム開発
地域:東京都
コンサル:Pマークはコンサルタント1名で費用はおよそ100万円くらいでした。ISO27001は大手ベンダー会社の研修形式のコンサルティングサービスを受講しました。費用はおよそ150万円くらいでした。
弊社は2005年にISO9001、2006年にPマーク、2011年にISO27001の認証を取得しました。
ISO9001を取得した時のノウハウでPマークとISO27001を取得することができました。
2005年は、個人情報保護法が正式に施行された年で、弊社も法律に従った個人情報保護の取組が必須となりました。
そこで、ISO9001の仕組みを土台に、構築の知識を活かしながら、Pマークの認証を取得しました。
それから5年が経過して顧客から情報セキュリティの要求が厳しくなり、個人情報保護だけでは不足してきたため、ISO27001の認証を取得することになりました。
コンサルタント以外の取得費用はPマークがおよそ50万円、ISO27001がおよそ100万円くらいです。
3つの認証を取得して、それぞれの仕組みを運用していると、共通点が多い事に気づきます。
弊社では全ての構築を同じ人物がコントロールしていたので、構築時から共通点を意識して、同じ仕組みを二重、三重に作らないように配慮することが出来ました。
大きい会社では、このような場合別々の担当者が構築するケースがあり、後で統合することが難しくなることがあります。
実際に事例も拝見したことがあります。なるべく同じ担当者が構築に係ることがスムーズに進むと思われます。
PマークとISO27001は対象となる情報が個人情報か他の機密情報を含むかの違いしかなく、情報セキュリティのルールとしては同一のことが多くあります。
ざっくりと紹介すると、ISO27001でPマークのほとんどをカバーでき、次の2点だけが個人情報特有のものだと理解すれば間違いはありません。
・個人情報を利用する場合は、利用目的を明示して本人の同意を得なければならない。
・個人情報に関する苦情、相談の窓口を設けて、対応の手順を定めなければならない。
そこで、弊社ではISO27001の規定や記録をベースとして、個人情報を取扱う規定と苦情相談に関する規定を別に作成しました。
このことで2つの仕組みの統合化とスリム化が出来たと思います。
現在の悩みはPマークとISO27001の審査機関が異なるために、同じような内容の審査を別々に受けなければならないことです。
審査費用もかかりますし、その間の拘束時間ももったいないのですが、最も無駄に思えるのは、同じような仕組みであるのに、審査基準が異なることで審査の指摘事項の内容やレベル、細かさなども異なることです。
これは審査機関を統一することで容易く解決できるように感じますが、PマークとISO27001の両方を審査できる機関は無いようです。
この辺りの改善を望みたいと思います。
関連ページ
- 広告業(広告代理業)(群馬県)の会社の取得の感想
- 非営利団体(兵庫県)の会社の取得の感想
- ソフトウェア開発(三重県)の会社の取得の感想
- 出版業(愛知県)の会社の取得の感想
- 広告業(広告代理業)(岡山県)の会社の取得の感想
- 小売業(福岡県)の会社の取得の感想
- 金融業(北海道(札幌))の会社の取得の感想
- リサイクル業(千葉県)の会社の取得の感想
- 警備業(北海道(札幌))の会社の取得の感想
- システム開発(兵庫県)の会社の取得の感想
- プライバシーマーク取得体験談【コンサル利用】ソフトウェア開発(沖縄県)の会社の感想
- プライバシーマーク取得体験談【コンサル利用】システムインテグレーション(愛知県)の会社の感想
- プライバシーマーク取得体験談【コンサル利用】廃棄物処理業(兵庫県)の会社の感想
- プライバシーマーク取得体験談【コンサル利用】建設・工事業(愛知県)の会社の感想
- プライバシーマーク取得体験談【コンサル利用】金融業(滋賀県)の会社の事例
- プライバシーマーク取得体験談【コンサル利用】旅行業(京都府)の会社の感想
- プライバシーマーク取得体験談【コンサル利用】ビルメンテナンス業(京都府)の会社事例
- プライバシーマーク取得体験談【コンサル利用】派遣業(三重県)の会社の感想
- プライバシーマーク取得体験談【コンサル利用】印刷業(愛媛県)の会社の事例
- プライバシーマーク取得体験談【コンサル利用】広告業(広告代理業)(佐賀県)の会社の事例
- プライバシーマーク自社取得体験(飲食店・福岡県)
- プライバシーマーク自社取得体験(証券業・神奈川県)
- プライバシーマーク自社取得体験(機械器具卸売業・愛知県)の場合
- プライバシーマーク自社取得体験(冠婚葬祭業(葬儀業)・和歌山県)の事例
- 千葉県の会社のプライバシーマーク取得の感想(薬局(医療品小売業))
- 兵庫県の会社のプライバシーマーク取得の感想(医療業(病院))
- 神奈川県の会社のプライバシーマーク取得体験(広告業(広告代理業))
- 大分県の会社のプライバシーマーク取得体験(保険業)
- 埼玉県の会社のプライバシーマーク取得体験(警備業)
- 千葉県の会社のプライバシーマーク取得体験(医療業(病院))
- プライバシーマーク取得(コンサル利用)社労士事務所・愛知県
- プライバシーマーク取得(コンサル利用)東京・証券業
- プライバシーマーク取得の感想(コンサル利用)機械修理業・福岡県
- 初めてのプライバシーマーク取得(東京都・コンサル会社)
- プライバシーマーク取得体験(コンサル利用)機械修理業・大阪府
- プライバシーマーク取得(コンサル利用)証券会社・佐賀県
- プライバシーマーク取得(コンサル利用)愛知県の派遣業の会社のケース
- 京都府(結婚相談業)のプライバシーマーク取得体験談(コンサル利用)
- プライバシーマーク取得(コンサル利用)福岡県の結婚相談業の感想
- 山梨県(広告業(広告代理業))のプライバシーマーク取得体験談(コンサル利用)
- 熊本県(金融業)のプライバシーマーク取得体験(コンサル利用)
- 滋賀県(廃棄物処理業)のPマーク取得体験(コンサル利用)
- 岡山県(冠婚葬祭業(葬儀業))のPマーク取得の感想(コンサル利用)
- 神奈川県(システム開発業)のPマーク取得体験(コンサル利用)
- 山形県の廃棄物処理業のPマーク取得(コンサルティング利用)
- 埼玉県(事業協同組合)のPマーク取得の感想(コンサル利用)
- 岩手県(システムインテグレーション)のプライバシーマーク取得体験談(コンサル利用)
- 岡山県(保険業)のPマーク取得の体験談(コンサル利用)
- 埼玉県(放送業)のPマーク取得の感想(コンサル利用)
- (愛知県のシステム開発系中小企業のPマーク担当者)Pマークの保持・更新を自社内で行っていました。(自力取得)
- 愛知県(ダイレクトメール発送代行業)のPマーク取得の感想(コンサル利用)
- 兵庫県(映像制作会社)のPマーク取得の感想(コンサル利用)
- 千葉県(電気通信業)のPマーク取得の感想(コンサル利用)
- (愛知県・IT企業)Pマークの取得と管理(コンサル利用か自社取得か)
- (東海・自動車販売業)Pマークは信頼の証・商売の必須アイテム
- 愛知県(測量業)のプライバシーマーク取得の感想(コンサル利用)
- 私がコンサルを使ってプライバシーマークを取得した話(不動産業・三重県会社勤務)
- プライバシーマーク取得までの道のり(東京都・システム開発)
- ISO27001(ISMS)取得の担当者としての経験