ISMSと個人情報保護法対策は実際には8割くらいしか重ならないという。個人情報保護法に準拠するためには、個人情報の利用目的を管理したり、本人に個人情報の開示や変更、利用停止を求められた場合の社内体制を作る必要がある。これらはセキュリティとは関係ないため、ISMSではカバーできない。

ISMSとプライバシーマーク（Pマーク）は難易度と広範囲度は「ISMS」＞「Pマーク」だと思っているが、ISMS準拠でも個人情報保護法対策として足りない部分がまだまだあるというのではPマーク取ったからどうだ、という話は言えなくなってきたのではないだろうか。それでも「８割」も重なっていると言えますが。

社内体制は人の問題。情報流出の最も大きな原因は人から（意図的に流出）といわれるから、法律をいくら勉強しても個人情報保護という人権意識がなければ意味がないとも言えるわな。