ISO27701とPマークとの違いについて徹底解説!
プライバシー情報に関するISO規格として比較的最近(2019年8月)発行されたISO27701ですが、もともと日本に存在するプライバシーマーク(Pマーク)とどう住み分けるのかよく分からないというご質問をいただくことも多いです。
今回は、このISO27701とPマークとの違いについて解説していきます。Pマークをお持ちの会社様もそうでない会社様も、ぜひご一読ください。
規格の違い
Pマークとは、JIS Q 15001というJIS規格(日本産業規格)に基づき、個人情報保護体制を構築・運用している組織に対して付与される認証です。この規格で実施すべき項目として挙げられている内容は、日本の個人情報保護法に近い内容が求められています。
そのため、認証を取得していても日本国内でしか有効ではありません。
これに対し、ISO27701は、世界各国で個人情報保護の気運が高まってきたことに対応して、これまで『情報』セキュリティ全般のマネジメントシステム規格として存在していたISO27001の『プライバシー保護部分』を拡張する形で作成された国際規格です。
そのため、認証を取得することで国際的にプライバシー保護体制をアピールできます。
マネジメントの対象の違い
Pマークでは、PMS=個人情報保護マネジメントシステムを構築することになります。そのため、保護の対象となるのは「個人情報」に該当する情報となります。
また、以下で説明するとおり、認証取得が法人単位となるので、その企業内において取り扱っている全ての個人情報が対象となります。
これに対して、ISO27701では、PII(日本の「個人情報」に類似)の処理によって影響を受けるプライバシーの保護をマネジメントの対象とし、PIMS=プライバシー情報マネジメントシステムを構築することになります。
こちらはISMSと同様適用範囲を任意で定められるので、対象となるPII(個人情報)としては、そのPIMSの適用範囲内で取り扱われるPIIとなります。
認証取得可能範囲の違い
Pマークに関しては、法人単位での取得が必須となります。また、日本国内に活動拠点をもつ民間事業者(一定の条件を満たした自治体等も可能)であることも必要となってきます。
これに対し、ISO27701認証は、ISMS認証と同様に適用範囲を任意に決められます。そのため、例えばA社のBサービスで取扱う個人情報など、特定の事業単位などで認証取得が可能です(もっとも、処理されるPIIを軸に適用範囲を決定する必要はあります)。
また、適用範囲を決める際、「PII管理者」「PII処理者」といった役割を決定する必要があります。
PII管理者」とは、PIIをどのような利用目的でどのように取り扱うかを決定している組織をいい、「PII処理者」とは、PII管理者に代わり、その指示に従ってPIIを取り扱っている組織をいいます。
審査のタイミングの違い
Pマークは認証取得後、2年に一度、更新審査があります。
これに対し、ISO27701認証は、更新審査が3年に一度あります。そして、更新審査のない年には、継続審査(サーベイランス審査)があります。つまり、毎年何かしらの審査を受ける必要があります。(継続審査の内容としては更新審査よりも簡易的な内容となります)
対応している法令の違い
PマークにおけるJIS Q 15001では、個人情報保護法で規制されている項目と同一の内容プラスアルファの項目を、規格で実施すべき項目として挙げています。つまり、結果として日本の個人情報保護法に対応したPMSを構築することになります。
これに対し、ISO27701は、特定の法令に対応するための規格ではありません。ISO27701では、GDPRを意識はしていますが、あくまでも参考としてISO27701に書かれている項目とGDPRの規制内容とのマッピングを附属書Dに掲載しているにとどまります。(なお、ISO27701には各所に「法域によっては~」という記載がありますが、ここでいう「法域」は基本的にGDPRの適用されるEEA(欧州経済領域)を指しています)
両者の違いをまとめた表を以下に示します。
| ISO27701 | Pマーク | |
|---|---|---|
| 規格 | 国際標準規格 ISO27701:2019 | 日本産業規格 JIS Q 15001:2017 |
| 有効範囲 | 国際的に有効 | 国内に限る |
| 対象となる情報 | 適用範囲内のPII | 企業内のすべての個人情報 |
| 対象となる企業・団体 | 「処理されるPII」を基軸に、特定の事業所単位、部門単位、事業単位等での取得が可能 PII管理者、PII処理者の役割を決定する必要あり |
国内に活動拠点をもつ事業者が、法人単位(特定の部署などではなく企業全体)で取得する必要がある |
| 更新 | ISMSの更新審査と同時(3年毎)、及び毎年の維持審査 | 2年毎 |
| 対応している法令 | 特定の法令に対応しているとはいえない | 個人情報保護法を意識している |
ISO27701認証が向いている企業
Pマークは、日本で個人情報保護法が制定される2003年より以前の1998年から運用されている、20年以上の歴史を有する制度です。そのため、官公庁の入札条件にもPマーク取得が条件として挙げられたり、企業間の取引条件等に組み込まれたりと活用された結果、比較対象として挙げられがちなISO27001(ISMS認証)に比べて日本の国内での認知度は高く、2020年10月26日現在では、16,452社がPマークを取得しています。
これに対し、ISO27701については、2019年8月に発行された規格と書いたことからも分かる通り、ISO27701は比較的新しい規格です。よって、ISO27701自体の知名度は、現時点では決して高いとは言えません。また、日本国内でのISO27701の公式な認証については2020年11月時点ではまだ開始していませんし、国際的にも認証取得数は少ないです(※2021年から認証開始予定)。
ただ、日本のローカル制度であるPマークと違ってISO27701は国際規格なので、海外に向けて事業展開している企業にとっては、海外にもアピールできる点でISO27701は有用かもしれません。
また、Pマークが、法人単位での認証取得が必須であることから、一部の部署や拠点に絞って個人情報保護の体制を構築・運用したいと考えられている組織にとっては、適用範囲を柔軟に設定できるISO27701は、取得を検討する価値があります。
おわりに
以上、ISO27701とPマークの比較をしてきました。
「ISO27701について詳しく知りたい」という方がいらっしゃいましたら、お問い合わせフォームよりお問い合わせください。
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く
