PマークやISMSを誤解してる人が（相当数）いるようにも見えるが、あれは「これがあるから絶対大丈夫」なんではなく「見た時点・見た限りにおいては」きちんと管理されていた＆それを維持するためのプロセスがきちんとしていたというくらいに思っておいたほうが良い。
もちろん、認証取得のためには大変な苦労があるわけで、そこはオレも理解してる。けど、必要以上にそれらのマークや認証が「錦の御旗」であるとも思ってほしくない。
それらの認証を取得している企業の情報も、きっちり漏洩している事例があることを考えると、「あるから大丈夫」ではなく「あるから『何かあっても』対応はきちんとするだろう」くらいのレベルで考えたほうがよい。

PマークとISMSの話が出てきたので、少しマネジメントシステムの話に踏み込むけど、PマークはJIS Q 15001:2006にて規定された個人情報保護マネジメントシステムの構築と維持運用に関する話を、ISMSはISO27001:2006にて規定された情報セキュリティマネジメントシステムの構築と維持運用に関する話をそれぞれ扱っている。
マネジメントシステムは、管理を行うにあたっての規程類を整備し、証跡を残せるようにし、PDCAサイクルをきちんとまわして「不備があった」場合にはその不備を改修できるようにする体制全体を表現する概念である。
なので、「作るからには最初から完璧にしなくてはならない」ということもなく、かといって「完璧なものを作ったからもうそれを単に動かすだけでよい」ということにもならない。実施が行われているかどうかのチェックと、指摘に応じたアクションを取る、ということもきちんと織り込まないといけない。