• ISO27701はISO27001(ISMS)のアドオン(拡張)規格で、個人情報マネジメントシステムに関する規格である
  • ISO27701は組織が扱う個人情報について、プライバシーの観点で管理・保護していく
  • 主な取得業種は、GDPRの影響を受ける組織を主な対象としている
  • ISO27701を取得することでGDPRを始めとした各国のプライバシー保護規定を考慮した仕組みを構築できる

ISO27701は組織が扱う個人情報について、プライバシーの観点で管理・保護していく国際規格です。GDPR(EU)をはじめとしたプライバシー法規制に対応でき、企業が関わる全てのステークホルダーのプライバシー保護を目指します。

個人情報の保護については世界中で動きがある中で、グーグルがユーザーの事前の同意なしに「クッキー」を送付したとして、1日につき1億ユーロの罰金を科されました。(フランスの個人情報保護に関する国内法第82条に違反)

世界的に個人情報の保護が強化される中、ISO27701はどのような役割を果たすのでしょうか。今回は、ISO27701の基本的な情報を分かりやすく解説していきたいと思います。

ISO27701とは

ISO27701とは、プライバシー情報マネジメントシステム(PIMS:Personal Information Management System)に関する国際認証規格です。世界各国のプライバシー法規制に対し包括的な運用・仕組みに対応することが可能になります。

サイバー攻撃や不正アクセス、紛失・改ざんなどの情報セキュリティリスクから組織が取り扱う情報資産のうち、個人情報に限定した「プライバシー情報の保護」を目指しています。

のちほど解説しますが、ISO27701はISO27001(情報セキュリティマネジメントシステム)のアドオン規格(特定の規格の取得を前提とし、追加で取得できる規格)です。そのためISO27001と同時に取得するか、ISO27001を事前に取得することが必要です。

関連記事:ISMS-PIMS認証(ISO27701)とは?メリットやPマークとの違いを解説

ISO27701が発行された背景

ISO27701は2019年8月に発行された新しい規格です。近年ではIT技術の進化により、クラウドサービスなどのさまざまなITサービスが普及しています。

そして消費者がインターネット上でサービスを利用するために、個人情報をサービス提供元の企業に預ける機会が増えました。こうした機会の増加に伴い、「安全に個人情報(PII)を取り扱ってほしい」というニーズが増えたことがISO27701発行の背景にあります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティにおけるISO27701の位置づけ

ISO27701はあくまで個人情報や個人情報に関わるプライバシーを保護するための仕組みであり、情報セキュリティ全般におけるセキュリティ対策はできません。

そこで、ここで情報セキュリティにおけるISO規格を知ることで、ISO27701の位置づけを理解しましょう。

ISO27001

情報セキュリティマネジメントシステム(ISMS)に関する規格。
情報セキュリティの三要素「機密性」「完全性」「可用性」を向上させることを目的としている。

ISO27000シリーズにおける中心的な規格であり、ISO27017やISO27018などのアドオン規格を取得する際には、ISO27001とセットで取得する必要がある。

関連記事:【基本】ISO27001(ISMS)とは?メリットや要求事項を解説

ISO27017

クラウドサービスにおける情報セキュリティに関する規格。
対象が「クラウドサービスの利用または提供している事業者」、もしくは「利用・提供の両方をしている事業者」のみに限定されており、クラウドサービスに特化した要求事項を示している。

ISO27001のアドオン規格であるため、ISO27001と同時に取得するか、ISO27001を事前に取得する必要がある。

関連記事:ISO27017とは?要求事項や管理策をわかりやすく解説

ISO27018

クラウドサービスにおける個人情報セキュリティに関する規格。
ISO27017よりもさらに対象が狭く、クラウドサービスにおける個人情報に特化した管理策を示している。

ISO27001のアドオン規格であるため、ISO27001と同時に取得するか、ISO27001を事前に取得する必要がある。

関連記事:ISO27018とは?PマークやISO27017との違いを解説

ISO27000シリーズは、情報セキュリティを強固にするために、対象ごとに規格を発行しています。シリーズの中心となるのは、一般的な情報セキュリティ全般が対象のISO27001です。

そのためISO27701もISO27001のアドオン規格であるため、ISO27701の適用範囲もISO27001の適用範囲内であることが必要です。

ISO27701とPマークの違い

Pマーク(JIS Q 15001)とは、個人情報保護マネジメントシステムに関する国内規格のことです。認証された事業者が活用できるロゴを見たことがある方も多いのではないでしょうか。

ISO27701とPマークは個人情報保護といった類似していますが、規格そのものに大きな違いがあります。ISO27701はプライバシー法規制に対応する国際的な規格なのに対し、Pマークは日本の個人情報保護法に対応する国内規格です。

以下に、ISO27701とPマーク、またISO27001の主な違いをまとめました。

ISO27001(ISMS)ISO27701(PIMS)Pマーク
規格国際標準規格日本工業規格(日本独自の規格)
対象となる情報資産適用範囲内の全ての情報資産組織が扱う個人情報についてのプライバシー企業の全個人情報
要求情報の機密性・完全性・可用性の維持個人情報(PII)とそれに関わるプライバシーまでの保護適切な個人情報の取り扱い
取得可能範囲企業全体だけでなく、1つの部署や支店に限定できるISO27001と同じ認証範囲かISO27001の認証範囲の中の一部企業全体のみ
規格の柔軟性取得する企業に合わせてルールや文書を作成できる手順書や作成する文書があらかじめ決められているため、どの企業もルールや文書に大きな違いはない
取得企業の特徴BtoBBtoB、BtoCBtoC
関連記事:Pマーク取得の難しさ
関連記事:【Pマーク入門】認証取得のキホンと規格要求事項を徹底解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27701取得のメリット

ここでは、ISO27701を取得するメリットについて解説します。

  • 世界各国のプライバシーに関連する法規制に対応するためのフレームワークを構築できる
  • 顧客、外部の利害関係者等のステークホルダーに、GDPRおよびその他のプライバシー規制を遵守する効果的な管理システムの存在を示せる
  • 国際的に新しく発行された第三者認証なので、他社との差別化に役立つ
  • プライバシー保護の役割と責任の透明性が増すことで、GDPRなどのプライバシー規制に準拠する取り組みを推進できる

従業員情報も含めると、個人情報を一切取り扱っていない組織はほとんどいないでしょう。
ISO27701を取得することで、全ての個人情報の取り扱い、特に「顧客の個人情報の取り扱い」をしっかりと管理していることをアピールできます。
また各国のプライバシー規制の順守を通じ、個人情報保護違反を防止することで、高額な罰金から自社を守ることにもつながります。

ISO27701の取得がおすすめの企業の特徴

ISO27701を取得している主な業種は、GDPRの影響を受ける組織です。
GDPRとは、個人データ保護やその取り扱いについて詳細に定められたEU加盟国にノルウェーなど3か国を追加した国々に適用される法令のことです。

これらの対象国に事業所がある、またはサービスを提供している企業はGDPRによる規制の対象となるため対応が必要になります。

またISO27001のアドオン規格ということからIT業、運送業、人材派遣、小売業、サービス業、クラウドサービス提供者にもおすすめの規格です。

以下の特徴のいずれかに当てはまる企業は、ISO27701の取得を検討することがおすすめで

  • EUに子会社、支店、営業所、駐在員事務所を有している企業
  • 日本からEUにサービス(商品)の提供をしている企業
  • EUから個人データの処理について委託を受けている企業(DC、クラウドサービスベンダー)
  • プライバシー法規制への対処や管理を包括的に行いたい企業
  • ISO27001を取得済みだが、より個人情報保護を強化したい企業
  • 膨大な数の個人情報を取り扱っている企業
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

個人データの管理については、世界中でプライバシー法規制が厳しくなってきている中で、ISO27701は世界各国のプライバシー法規制に対し、包括的な運用・仕組みに対応する国際認証規格です。

今まで個人情報の規格で多く取得されてきたのはPマークでした。しかし、Pマークは日本独自の規格で国際標準規格ではありません。海外に向けて事業を展開している、もしくはしようとしている企業やGDPRの影響を受ける可能性がある企業はISO27701の取得を検討してみると良いでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ