ISO27701とは

2019年8月に、ISO27701という新しい規格が発行されました。
ここでは、ISO27701とはどういう規格なのか？ISO27001とは何が違うのか等を説明します。

情報セキュリティマネジメントシステム(ISMS)は情報セキュリティ全般を保護するための仕組みです。

ISO27701は、ISMSの規格であるISO27001に付け加える「アドオン規格」として位置付けられています。PIIを取り扱う事業者にとって、PIIを適切に扱うためにしなければいけないこと、それを達成するための方法や手引などが書かれています。

個人情報の取り扱いに関しての第三者認証としてはPマークがあります。PIMS認証とPマークの違いは、準拠している規格です。PIMSはISO27701という国際規格に準拠しています。対してPマークはJIS Q 15001という日本国内で有効な規格に準拠しています。つまり「個人情報の取扱いに関する第三者認証の国際規格版がISO27701認証」といえばイメージしやすいでしょうか。その他の違いの一例は以下となります。

ISO27701認証は、規格に沿ってPIMSを構築することで、PII取扱い時に順守しなければならない法的義務や、(PII主体への)説明責任を、不足することなく実施できる組織体制が構築できます。加えて対外的な信頼性の向上の効果も期待できるので、日本国内での需要は高いと予想されます。

※現時点(2020年9月31日)では、国内のISMS認定機関であるISMS-ACはISO27701の認定を行なっていません。

上述の通り、ISO27701はISO27001に付け加えるアドオン規格として位置付けられています。
具体的な内容は、ISO27001に書いてある「ISMSを構築・運用するために求められていること」に対して「PIMSを構築・運用するために求められていること」が加わっており、PIIを取り扱う事業者に対して、PIIを適切に取り扱うための方法や手引が書いてあります。

PIIを取り扱う事業者を2つに分けるとPII管理者(Controller)とPII処理者(Processor)があります。

ISO27701では、それぞれの責任を果たすために、それぞれの立場に対してのPIIを取り扱うための方法や手引が書いてあり、合計49個存在します。ISMSではルールを定める際の検討項目が合計114個あったので、合わせて163個もの検討項目が存在することになります。

ISO27701に則してPIMSを構築することは、情報セキュリティだけでなく個人情報も適切に取り扱う管理体制づくりに繋がります。その結果、安全なPIIの運用管理をすることができます。

ISO27701は、2019年に発行されたばかりの新しい規格です。
この規格が発行された背景には、事業活動の中で安全なPIIの取り扱いが、世界的に求められていることがあります。

MicrosoftはAzureやMicrosoft Cloud App Securityなどのいくつかのクラウドサービスに対してISO27701認証を取得しています。他には、GoogleもGoogle Cloud Platformで提供している多くのサービスに対して認証を取得しています。いずれも、ISO27701認証を取得することで、提供するサービスのコンプライアンスが保証されることを期待したようです。

今現在、ほとんどすべての組織がPIIを取り扱っているといっても過言ではありません。クラウドサービスの普及によって、複数の組織でPIIを共有することが容易になって利便性が高まったと同時に、組織がPIIをより一層慎重に扱う責任と義務の重要性も高まりました。PIIを適切に取り扱う組織として第三者機関からのお墨付きをもらうことは、今後のビジネスにおいて信頼を得るために必要になることが予想されます。