メインコンテンツへ
システム監査ITガバナンス

ISMS(情報セキュリティマネジメントシステム)認証(ISO/IEC 27001)と Pマーク(プライバシーマーク)の違いについての説明として、最も適切なものはどれか。

ア.ISMS も Pマークも国際規格であり、どちらも ISO が認証機関として直接発行する。
イ.ISMS と Pマークはまったく同一の要件であり、一方を取得すれば自動的にもう一方も取得できる。
ウ.Pマークは個人情報を扱う国際企業のみ取得でき、日本国内の中小企業は取得対象外である。
エ.ISMS は情報セキュリティ全般(機密性・完全性・可用性)を対象とする国際規格の認証。Pマークは日本国内の個人情報保護を対象とする JIS Q 15001 に基づく国内認証。正解

解説

ISMS は「セキュリティ全体の国際免許」、Pマークは「個人情報の丁寧な取り扱いの国内認定証」。ISMS の方が対象が広く、Pマークは個人情報保護に特化した日本独自の制度だ。

なぜ エ が正解か

エが正解。ISMS(ISO/IEC 27001)は情報資産の機密性・完全性・可用性を管理する国際規格で、認定認証機関が審査を行い国際的に通用する。Pマーク(プライバシーマーク)は JIPDEC(日本情報経済社会推進協会)が運営し JIS Q 15001(個人情報保護マネジメントシステム要求事項)に準拠する日本独自の認証制度で個人情報保護に特化。両方を取得する組織も多い。

なぜ ア は間違いか

ISMS は認定認証機関が審査(ISO は規格策定のみ)。Pマークは JIPDEC が認定した審査機関が審査を行う。ISO が直接発行するものではない。

なぜ イ は間違いか

要件も対象も異なる別の認証制度。一方の取得がもう一方の免除要件にはならない(部分的な重複はある)。

なぜ ウ は間違いか

Pマークは日本の法人であれば中小企業を含むすべての事業者が取得申請できる。国際企業限定ではない。

出典: AI生成問題(学習用)