PMS運用中ですが、ISMSを併用導入するベストな方法はありませんか？

更新日：2025/12/12 （公開日：2015/05/07）

※本記事は、ISM Web store が作成・検証したものです。

弊社はすでにPMSを運用してまして、さらに個人情報以外にも社内のセキュリティシステムを固く守って運用できるようISMSも併用で取ろうしている状況です。

そこで、ISMSをPMSと併用するときのうまい入れ方とかいい方法などありましたらお伺いしてもよろしいでしょうか。

ISMSの基準規格であるISO/IEC 27001:2022と、PMSの基準規格であるJIS Q 15001:2023は、国際規格と国内規格という違いはありますが、管理策の方向性は共通しています。

そのため、既存のPMSで作成済みの「個人情報保護規程」をISMSの規程体系に組み込むことで、効率的に両規格の要求事項を満たすことが可能です。

以下に、それぞれの規格の位置づけ、規程の流用と整合性、運用上の工夫、取り組み方について解説させていただきます。

ご参考ください。

1. 規格の位置づけ

ISMSは国際規格として情報セキュリティ全般を対象とし、PMSは国内規格として個人情報保護に特化しています。両者は構成や管理策の方向性が共通しています。

ISMS（ISO/IEC 27001:2022）
- 国際規格であり、情報セキュリティ全般を対象とする。附属書Aの5.34にて「プライバシー及びPIIの保護」が要求されているため、個人情報保護も範囲に含まれます。
PMS（JIS Q 15001:2023）
- 国内規格です。なお、プライバシーマークの認定においては、JIS Q 15001:2023だけでなく、日本の個人情報保護法や番号利用法に準拠する必要があります。
- なお、JIS Q 15001:2023の附属書Dは、JIS Q 27002（情報セキュリティ管理策）を参照しており、ISMSと管理策の方向性は共通している。

PMSで既に作成済みの個人情報保護規程は、ISO/IEC 27001の要求事項に対応可能であり、ISMSの規程体系に組み込むことで両規格を効率的に満たせます。

個人情報の取扱い及び保護に関しては、PMS特有の規程で維持しつつ、リスクアセスメントや安全管理措置はISMSとPMSで整合性を保ちながら共通化することも可能です。

個人情報の取扱い及び保護
- プライバシーマーク特有の要求があるため、該当する箇所は別規程（既存の規程のまま）として維持する必要があります。
リスクアセスメント
- ISMSでは、個人情報も情報資産としてリスクアセスメントを実施することが可能です。
- よって、ISMSで一元的に行うことも可能ですし、そのまま個人情報のリスクアセスメントは別として規定することも可能です（要検討）。重要なのは、両方の規格で要求される「リスク対応策」が矛盾しないことです。
安全管理措置
- JIS Q 15001:2023のA.10安全管理措置では、管理目的及び管理策として附属書D（JIS Q 27002:2014の箇条5～箇条18を基に作成したもの）を参照となっているため、これを参考にして管理策を作っているのであれば、ISO/IEC27001で講じる管理策に、PMSで講じていた管理策を含めることで、両方に共通した管理策をとることが可能です。
- ISMSとPMSで同じ対策を採用しても良いし、既存のまま、個人情報に対する管理策は別管理策として設けても良いかと思います（要検討）。

ISMSとPMSは通常別々の審査機関で審査されますが、ISMSの枠組みにPMSを組み込むことで、双方の審査に対応しやすくなります。

ISMSの「プライバシー及びPIIの保護」にPMSを当てはめ、リスクアセスメントや安全管理措置を一度のプロセスで両規格に対応させるのが効率的です。なお、既存の個人情報保護規程のまま、ISMSの一部として取り込むことも可能です。

取組みやすい方法としては、ISMSの個人情報の保護に関する部分（5.34にて「プライバシー及びPIIの保護」）を切り離して考え、既に運用されているPMSをこれに当てはめる方法です。
なお、運用ベースで考えた場合は、リスクアセスメント及び安全管理措置を、ISMSとPMSを合わせる方法です。1度のリスクアセスメントで、同じ安全管理措置を行うことができます。