ISO27701とは

2019年8月に、ISO27701という新しい規格が発行されました。
ここでは、ISO27701とはどういう規格なのか?ISO27001とは何が違うのか等を説明します。

ISO27701の概要

情報セキュリティマネジメントシステム(ISMS)は情報セキュリティ全般を保護するための仕組みです。

それに対して、個人情報(PII)とそれに関わるプライバシーまでを適切に保護するための仕組みがプライバシー情報マネジメントシステム(PIMS)です。このPIMSを構築するための規格がISO27701です。

ISO27701は、ISMSの規格であるISO27001に付け加える「アドオン規格」として位置付けられています。PIIを取り扱う事業者にとって、PIIを適切に扱うためにしなければいけないこと、それを達成するための方法や手引などが書かれています。

個人情報の取り扱いに関しての第三者認証としてはPマークがあります。PIMS認証とPマークの違いは、準拠している規格です。PIMSはISO27701という国際規格に準拠しています。対してPマークはJIS Q 15001という日本国内で有効な規格に準拠しています。つまり「個人情報の取扱いに関する第三者認証の国際規格版がISO27701認証」といえばイメージしやすいでしょうか。その他の違いの一例は以下となります。

ISMS/ISO27701 Pマーク
構成 各国のプライバシー保護規定を考慮したマネジメントシステムを構築できる
※準拠ではない
日本の個人情報保護法に追加の項目が書かれている
ルール 組織にあった仕組みを構築できる こうしなければならないという必須項目が多い
結論
  • 世界標準のプライバシー保護マネジメントシステムの構築ができる
  • 柔軟なルールづくりができる
  • 国内でのみ有効
  • 柔軟なルールづくりができない

ISO27701認証は、規格に沿ってPIMSを構築することで、PII取扱い時に順守しなければならない法的義務や、(PII主体への)説明責任を、不足することなく実施できる組織体制が構築できます。加えて対外的な信頼性の向上の効果も期待できるので、日本国内での需要は高いと予想されます。

※現時点(2020年9月31日)では、国内のISMS認定機関であるISMS-ACはISO27701の認定を行なっていません。

ISO27701の位置づけ

上述の通り、ISO27701はISO27001に付け加えるアドオン規格として位置付けられています。
具体的な内容は、ISO27001に書いてある「ISMSを構築・運用するために求められていること」に対して「PIMSを構築・運用するために求められていること」が加わっており、PIIを取り扱う事業者に対して、PIIを適切に取り扱うための方法や手引が書いてあります。

PIIを取り扱う事業者を2つに分けるとPII管理者(Controller)PII処理者(Processor)があります。

PII管理者 PII処理者
PIIを処理するための方法や手順を決定し、それに基づいて自らPIIを処理したり、PII処理者に処理させたりする責任があります。 PII管理者が決定した方針に従ってPIIを処理する責任があります。
例)
  • 自社の従業員教育のために、従業員の個人情報を利用する企業
  • セミナー開催にあたって参加者の個人情報を収集する企業
例)
  • 委託元からの指示に従って税務処理を行う社労士などの士業
  • 個別の受講履歴を見ることができるeラーニングサービスの提供企業

ISO27701では、それぞれの責任を果たすために、それぞれの立場に対してのPIIを取り扱うための方法や手引が書いてあり、合計49個存在します。ISMSではルールを定める際の検討項目が合計114個あったので、合わせて163個もの検討項目が存在することになります。

ISO27701に則してPIMSを構築することは、情報セキュリティだけでなく個人情報も適切に取り扱う管理体制づくりに繋がります。その結果、安全なPIIの運用管理をすることができます。

世界的に高まるPIIの安全な処理への期待とISO27701

ISO27701は、2019年に発行されたばかりの新しい規格です。
この規格が発行された背景には、事業活動の中で安全なPIIの取り扱いが、世界的に求められていることがあります。

MicrosoftはAzureやMicrosoft Cloud App Securityなどのいくつかのクラウドサービスに対してISO27701認証を取得しています。他には、GoogleもGoogle Cloud Platformで提供している多くのサービスに対して認証を取得しています。いずれも、ISO27701認証を取得することで、提供するサービスのコンプライアンスが保証されることを期待したようです。

今現在、ほとんどすべての組織がPIIを取り扱っているといっても過言ではありません。クラウドサービスの普及によって、複数の組織でPIIを共有することが容易になって利便性が高まったと同時に、組織がPIIをより一層慎重に扱う責任と義務の重要性も高まりました。PIIを適切に取り扱う組織として第三者機関からのお墨付きをもらうことは、今後のビジネスにおいて信頼を得るために必要になることが予想されます。

お気軽にご相談ください
ISO27701管理策資料
お問い合わせ/無料相談
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る