ISO/IEC 27701

規格の概要

「ISO/IEC 27701:2019（以下ISMS-PIMS(アイエスエムエス　ピムス)）」は、「ISO/IEC 27001（情報セキュリティマネジメントシステム(以下ISMS)）」および、その管理策ガイドラインである「ISO/IEC 27002」を拡張するアドオン規格として、2019年に発行されたプライバシー情報マネジメントシステムの国際規格です。

　　　

対象となる組織

●PII管理者（＊１）である組織
●PII処理者（＊２）である組織
●PII管理者およびPII処理者である組織

※PII（ピーアイアイ）とは…
Personally Identifiable Informationの略。
個人を特定できる情報のこと。（例：顧客情報、あるサービスにおけるユーザ情報、従業員情報など）

※PII管理者とは…
私的な目的でデータを使う個人を除いた、PIIを処理するための目的・手段を決定する事業者のこと。

PII管理者、PII処理者とは

（＊１）PII管理者：私的な目的でデータを使う個人を除いた、PIIを処理するための目的・手段を決定する事業者。
例：
　・XXXサービスにおける登録ユーザ情報の管理及びサービスプロモーションを行っている組織
　・ITシステムの受託開発における顧客情報の管理を行っている組織

　　　　

（＊２）PII処理者：PII管理者に代わり、指示に従ってPIIを処理する事業者。
例：
　・委託元よりコールセンターサービスに伴う顧客登録ユーザの閲覧および問合せ情報の記録をおこなっている組織
　・顧客従業員情報における税務処理を受託している組織

規格要求事項の構成

　　　　　　　　

アドオン規格のためISMS-PIMS単独では取得できません。
また、ISMSを超える範囲でISMS-PIMSを取得することはできません。

　　　　

ISO/IEC 27018、Pマークとの違い

●ISO/IEC27018はクラウド上の個人情報の保護に特化している規格であり、適用範囲はクラウドに関わるものに限定されますが、ISMS-PIMSの適用範囲は対象のPIIに関わる全ての活動が対象となります。
従って、アクセス可能を含む該当するPIIに関わる組織を対象にする必要があります。
一方、ISO/IEC 27018はクラウド上の個人情報に特化しているため、適用範囲はクラウドに関わる事業部のみが対象となります。

●Pマークは国内限定で有効な規格であり、法人単位での認証が必須であるのに対し、ISMS-PIMSは国際規格であることから国内外にて有効かつ、社内の事業部単位での認証が可能です。

　　　　　　　

●審査の対象となる個人情報（PII）は、Pマークでは会社全体で取り扱う個人情報（PII）になりますが、ISMS-PIMSは組織の状況を考慮し、特定のPIIに限定することができます。
ただし、限定した範囲での取得は可能ですが、対象となるPIIに関わる組織は全て認証範囲に入れる必要があります。

　　　　　　　

認証から得られるメリット

●個人情報保護法のコンプライアンスを、ISMSの仕組みの中で、運用することができる。
●海外における、個人情報保護規制への対応の基盤が構築できる。
●個人情報保護法改正の先取りをした運用が可能となる。