規格の概要

「ISO/IEC 27701:2019(以下ISMS-PIMS(アイエスエムエス ピムス))」は、「ISO/IEC 27001(情報セキュリティマネジメントシステム(以下ISMS))」および、その管理策ガイドラインである「ISO/IEC 27002」を拡張するアドオン規格として、2019年に発行されたプライバシー情報マネジメントシステムの国際規格です。

対象となる組織

●PII管理者(*1)である組織

        

●PII処理者(*2)である組織

        

●PII管理者およびPII処理者である組織

※PII(ピーアイアイ)とは…
Personally Identifiable Informationの略。
個人を特定できる情報のこと。(例:顧客情報、あるサービスにおけるユーザ情報、従業員情報など)

※PII管理者とは…
私的な目的でデータを使う個人を除いた、PIIを処理するための目的・手段を決定する事業者のこと。

PII管理者、PII処理者とは

(*1)PII管理者とは…
私的な目的でデータを使う個人を除いた、PIIを処理するための目的・手段を決定する事業者。
例:・XXXサービスにおける登録ユーザ情報の管理及びサービスプロモーションを行っている組織   ・ITシステムの受託開発における顧客情報の管理を行っている組織

        

(*2)PII処理者:PII管理者に代わり、指示に従ってPIIを処理する事業者。
例:・委託元よりコールセンターサービスに伴う顧客登録ユーザの閲覧および問合せ情報の記録をおこなっている組織
  ・顧客従業員情報における税務処理を受託している組織

規格要求事項の構成

        

アドオン規格のためISMS-PIMS単独では取得できません。
また、ISMSを超える範囲でISMS-PIMSを取得することはできません。

    

ISO/IEC 27018、Pマークとの違い

●ISO/IEC27018はクラウド上の個人情報の保護に特化している規格であり、適用範囲はクラウドに関わるものに限定されますが、ISMS-PIMSの適用範囲は対象のPIIに関わる全ての活動が対象となります。
従って、アクセス可能を含む該当するPIIに関わる組織を対象にする必要があります。
一方、ISO/IEC 27018はクラウド上の個人情報に特化しているため、適用範囲はクラウドに関わる事業部のみが対象となります。

●Pマークは国内限定で有効な規格であり、法人単位での認証が必須であるのに対し、ISMS-PIMSは国際規格であることから国内外にて有効かつ、社内の事業部単位での認証が可能です。

       

●審査の対象となる個人情報(PII)は、Pマークでは会社全体で取り扱う個人情報(PII)になりますが、ISMS-PIMSは組織の状況を考慮し、特定のPIIに限定することができます。
ただし、限定した範囲での取得は可能ですが、対象となるPIIに関わる組織は全て認証範囲に入れる必要があります。

       

認証から得られるメリット

●個人情報保護法のコンプライアンスを、ISMSの仕組みの中で、運用することができる。

    

●海外における、個人情報保護規制への対応の基盤が構築できる。

    

●個人情報保護法改正の先取りをした運用が可能となる。