「BtoC 事業で個人情報を扱っていて P マーク取得は必須だが、大手企業との取引で ISMS も求められるようになった」「上場準備で監査法人から情報セキュリティ全体の証明を求められ、ISMS と P マークの両方を検討することになった」「ISMS と P マークを単独で並行運用しているが、規程が二重管理になっていて改訂のたびに混乱が起きている」。ISMS と P マークの併用取得の相談を受けるとき、この 3 つは典型的なパターンです。本記事は、AI 駆動開発のクリエイティブスタジオとして両方の認証運用に関わってきた観点から、統合 PMS の設計と、費用と期間を圧縮する併用取得の進め方を実務ベースで整理しました。
結論: 統合 PMS で規程を一体化する
先に結論を書きます。ISMS (ISO 27001) と P マーク (JIS Q 15001) の併用取得は、単独取得を並行で進めるのではなく、統合 PMS (Privacy and Security Management System) として一体設計するのが正解です。両規格の要求事項は情報セキュリティ基本方針・リスクアセスメント・内部監査・従業員教育の 4 領域で大きく重なるため、統合 PMS で二重管理を避けることで規程の総量と運用工数を圧縮できます。
注意
ISMS と P マークを単独取得で並行運用すると、規程が二重管理になり、改訂のたびに整合性が崩れます。取得段階で統合 PMS を設計しておかないと、認証後の運用フェーズで無駄な工数が積み上がります。
本記事では、まず両規格の要求事項の重なりと差分を整理し、そのうえで統合 PMS の設計、費用と期間の圧縮効果、審査機関の使い分け、を順に掘り下げます。ISMS と P マーク単独取得の詳細は ISMS 取得ガイド と P マーク取得ガイド を参照してください。
要求事項の重なりと差分
ISMS (ISO 27001) と P マーク (JIS Q 15001) の要求事項を並べて整理すると、次の関係になります。
| 領域 | ISMS の要求 | P マークの要求 | 統合可否 |
|---|---|---|---|
| 情報セキュリティ基本方針 | 必須 | 必須 (個人情報も含む) | 統合可 |
| リスクアセスメント | 情報資産全般 | 個人情報中心 | 統合可 |
| 内部監査 | 必須 (年 1 回以上) | 必須 (年 1 回以上) | 統合可 |
| 従業員教育 | 必須 | 必須 | 統合可 |
| 経営層のコミットメント | 必須 | 必須 | 統合可 |
| インシデント対応 | 必須 | 必須 | 統合可 |
| 委託先管理 | 必須 | 必須 | 統合可 |
| 個人情報の取得同意 | 対象外 | 必須 | P 単独 |
| 個人情報の第三者提供 | 対象外 | 必須 | P 単独 |
| 個人情報の開示請求対応 | 対象外 | 必須 | P 単独 |
| 国際規格特有のアネックス管理策 (114 項目) | 必須 | 対象外 | I 単独 |
統合できる領域が 7 つ、それぞれ単独領域が 4 つずつ。単独で運用すると 11 領域 × 2 = 22 領域分の規程を管理することになりますが、統合 PMS では 7 + 4 + 4 = 15 領域で済みます。約 30% の圧縮効果です。
統合 PMS の設計
統合 PMS を設計するときの構造は次のとおりです。
第 1 階層: 情報セキュリティ・個人情報保護基本方針 (統合)
会社全体の方針を 1 つの文書にまとめます。「情報セキュリティ全体を守る」と「個人情報を適切に扱う」の両方の宣言を含みます。
第 2 階層: 統合 PMS の構造 (統合)
- 情報資産管理規程 (個人情報を含む)
- リスクアセスメント規程 (情報資産全般 + 個人情報の特別扱い)
- アクセス制御規程
- 委託先管理規程
- インシデント対応規程
- 内部監査規程
- 従業員教育規程
第 3 階層: P マーク特有の追加規程 (P 単独)
- 個人情報取得同意規程 (プライバシーポリシー)
- 個人情報第三者提供規程
- 個人情報開示請求対応規程
- 保有個人データの管理規程
第 4 階層: ISMS 特有の追加規程 (I 単独)
- ISO 27001 アネックス A 対応表 (114 項目の管理策)
- 暗号化ポリシー
- 物理的セキュリティ規程 (オフィスや DC の場合)
- BCP (事業継続計画)
この階層構造で設計すると、統合できる第 1・第 2 階層が全体の 60〜70% を占め、単独の第 3・第 4 階層は各 15〜20% に収まります。規程改訂のときも、第 1・第 2 階層を触れば両規格に自動的に反映されます。
費用と期間の圧縮効果
実案件で見える圧縮効果を、会社規模別に整理します。
| 会社規模 | 単独合算 (伴走費用) | 併用取得 (伴走費用) | 圧縮率 | 単独合算 (期間 直列) | 併用取得 (期間 並行) |
|---|---|---|---|---|---|
| 中小企業 (〜50 名) | 200〜260 万円 | 160〜210 万円 | 約 20% | 7〜9 ヶ月 | 5〜6 ヶ月 |
| 中堅企業 (50〜200 名) | 270〜370 万円 | 220〜300 万円 | 約 18% | 8〜11 ヶ月 | 6〜8 ヶ月 |
| 中堅企業 (200〜500 名) | 350〜500 万円 | 280〜400 万円 | 約 20% | 10〜13 ヶ月 | 7〜10 ヶ月 |
上記は自社完結型スタジオでの実案件レンジ (税抜) です。専門コンサル会社に依頼する場合は 2〜3 倍のレンジになる一方、圧縮率自体はほぼ同じです。
期間の圧縮が大きいのは、単独取得なら情報資産棚卸し → 規程整備 → 内部監査 → 認証審査、をそれぞれ 2 回繰り返すところ、併用取得では第 1・第 2 階層を 1 回で済ませられるからです。
FIXITISMS と P マークを両方取るのって、大変じゃないの?
2 つ別々に取るより、統合 PMS で一体設計する方が結果的に楽です。規程改訂も内部監査も 1 回で済みます。
Tsukasaただし、初回設計で両規格の要求事項を正確に理解して構造化する必要があるので、そこは経験のある担当者が入る方が安全です。
FIXIT
Tsukasaそれは別々です。ISMS は BSI や DNV、P マークは JIPDEC など、指定審査機関が違うので、審査費用は合算になります。
審査機関の使い分け
ISMS と P マークで審査機関は別建てになります。
- ISMS (ISO 27001) 審査機関 — BSI Japan、DNV、JQA、LRQA、JIC、Bureau Veritas など
- P マーク審査機関 — JIPDEC (日本情報経済社会推進協会) と JIPDEC 指定審査機関
審査は同時期にスケジュールできる場合が多いので、統合 PMS 完成後にほぼ並行して受審します。ただし、審査費用は単独取得の合算がそのまま乗ってきます。中堅企業で ISMS 80 万円 + P マーク 60 万円 = 140 万円程度が目安です。
併用取得が向く企業のパターン
併用取得は次の 3 パターンで実務価値が最も高くなります。
1. BtoC + 大手取引先の SaaS 事業者
BtoC で個人情報を扱いつつ、大手企業や官公庁と取引する SaaS 事業者は、両方の証明が同時に求められます。教育プラットフォーム、健康管理アプリ、金融系 SaaS などが典型例です。
2. 規制業界 (医療・金融・自治体)
医療・金融・自治体のように個人情報保護と情報セキュリティ全体を法令・監督官庁から求められる業界では、両規格の併用取得がほぼ必須になります。
3. 上場準備段階
上場審査で監査法人・主幹事証券から「情報セキュリティ全体を証明する国際規格 + 個人情報保護の国内認証」の両方を求められるケースが増えています。IPO 準備段階では、単独取得より最初から併用取得を計画するのが定石です。
進め方 (統合 PMS 前提)
併用取得の標準的な進め方は次の 5 ステップです。単独取得の 4 ステップに、統合設計フェーズが加わる形になります。
- 統合設計フェーズ (2〜3 週間): 両規格の要求事項マップを作り、統合 PMS の階層構造を確定
- 情報資産・個人情報の棚卸し (3〜4 週間): 両規格の対象範囲を同時に棚卸し
- 統合 PMS の構築と規程整備 (6〜10 週間): 第 1・第 2 階層 (統合部分) を先行、第 3・第 4 階層 (単独部分) を並行整備
- 内部監査と是正 (3〜4 週間): 両規格を同時に内部監査
- 認証審査対応 (5〜8 週間): ISMS と P マークの審査を同時期にスケジュール
失敗を避けるチェックリスト
併用取得で事前に確認しておくべき論点を整理します。
- 統合 PMS の設計を最初から取得プランに組み込んでいるか
- 両規格の要求事項マップを作成しているか (第 1〜4 階層の切り分け)
- 情報資産と個人情報の棚卸しを同時に実施できているか
- 内部監査を統合的に実施できる体制になっているか
- 審査機関 (ISMS 側と P マーク側) の審査枠を同時期に確保しているか
- 認証取得後の運用サポートを統合 PMS で継続する契約になっているか
- 規程改訂時に第 1・第 2 階層の変更が両規格に反映される運用になっているか
これらを満たしたうえで、併用取得は「単独 2 つ」ではなく「統合 1 つ」の設計思想で進めるのが、費用対効果と運用効率の両面で正解です。
ISMS と P マーク併用取得のご相談
「ISMS と P マークを両方取得したいが、費用と期間を圧縮したい」「単独で運用している 2 つの認証を統合 PMS に一体化したい」「上場準備で両方の認証が必要になった」といった状況こそ、AI 駆動開発のクリエイティブスタジオが伴走できる領域です。まずは ISMS 取得サポート と P マーク取得サポート をご覧いただき、お問い合わせ からお気軽にご相談ください。
