【2025改訂版】ISO27701とは？概要・Pマークとの違いを解説

ISO27701は組織が扱う個人情報について、プライバシーの観点で管理・保護していく国際規格です。GDPR（EU）をはじめとしたプライバシー法規制に対応でき、企業が関わる全てのステークホルダーのプライバシー保護を目指します。

個人情報の保護については世界中で動きがある中で、グーグルがユーザーの事前の同意なしに「クッキー」を送付したとして、1日につき1億ユーロの罰金を科されました。（フランスの個人情報保護に関する国内法第82条に違反）

世界的に個人情報の保護が強化される中、ISO27701はどのような役割を果たすのでしょうか。今回は、ISO27701の基本的な情報をわかりやすく解説します。

ISO27701とは？

ISO27701とは、プライバシー情報マネジメントシステム（PIMS：Personal Information Management System）に関する国際認証規格です。
企業が取り扱う個人情報に対して体系的な管理体制を構築し、各国のプライバシー法規制にも対応できる仕組みを整備できます。

近年、個人情報の漏えいや不正利用に対する社会的関心は高まっており、企業にはこれまで以上に厳格な情報管理が求められています。
ISO27701ではこうした背景を踏まえ、個人情報に特化したリスクマネジメントを行うことで、組織が保有する情報資産の中でも特に重要な「プライバシー情報」を守ることに重点が置かれています。

ISO27701が発行された背景

ISO27701は2019年8月に発行された新しい規格です。近年ではIT技術の進化により、クラウドサービスなどのさまざまなITサービスが普及しています。

そして消費者がインターネット上でサービスを利用するために、個人情報をサービス提供元の企業に預ける機会が増えました。こうした機会の増加に伴い、「安全に個人情報（PII）を取り扱ってほしい」というニーズが増えたことがISO27701発行の背景にあります。

ISO27701が対象とする2つの役割：PII管理者とPII処理者

ISO27701では、個人情報の取り扱いに関わる主体を「PII管理者」と「PII処理者」の2つに分類し、それぞれの責任と役割を明確にしています。

「PII管理者」と「PII処理者」の違いを以下にまとめました。

このように役割ごとに整理することで、責任範囲が明確になり、実効性の高いプライバシー保護体制の構築につながります。

改訂されたISO27701:2025の主な変更点とは？

ISO27701:2025の主な変更点は、「ISO27001の拡張規格から独立したマネジメントシステム規格へと移行したこと」と「附属書Aの構成が整理・統合されたこと」の2点です。

2019年版ではISO27001を前提とした規格でしたが、2025年版では単独での運用・認証が可能な規格へと大きく変化しました。また、要求事項の構成も見直され、より実務に適した形に整理されています。

ここでは、ISO27701:2025の主な変更点について詳しく解説します。

変更点1：ISO27001なしで単独取得可能に

ISO27701:2025では、ISO27001がなくても単独で認証取得が可能になりました。

従来の2019年版では、ISO27701はISO27001の拡張規格として位置づけられており、ISO27001の取得が前提でした。しかし2025年改訂により、ISO27701は独立したマネジメントシステム規格として再構成され、単独での認証取得が可能となっています。

この背景には、個人情報保護の重要性が高まり、「情報セキュリティ」とは別にプライバシー管理を強化したいというニーズの増加があります。実際に、PIMS単体でもPDCAサイクルを回せる構造へと見直され、より実務に即した運用が可能となりました。

その結果、これまでISO27001取得がハードルとなっていた企業でも、ISO27701のみを導入しやすくなり、プライバシー保護体制の構築がより現実的な選択肢となっています。

変更点2：附属書Aの構成が整理された

ISO27701:2025では、従来分散していた管理策が附属書Aに統合され、構成が大幅に整理されました。

2019年版では、PII管理者向け・PII処理者向けの要件がそれぞれ附属書A・Bに分かれており、さらにガイドラインが別の箇条として存在していたため、全体像が把握しづらい構成でした。
しかし2025年版では、これらの内容がすべて附属書Aに集約され、以下のように体系的に整理されています。

このように、2025年版では構成がシンプルに整理されたことで、実務担当者が必要な管理策を把握しやすくなりました。

情報セキュリティにおけるISO27701の位置づけ

ISO27701は、「個人情報の保護」にフォーカスした規格として位置づけられています。そのため、情報セキュリティ全般を網羅するものではありません。情報セキュリティ対策と一言でいっても、その対象は企業の機密情報やシステム、クラウド環境など多岐にわたります。

ISO27701の位置づけを正しく理解するには、ISO27000シリーズ全体の役割を把握することが重要です。
以下では、ISO27701とその他ISO27000シリーズとの関係性や違いについて解説します。

ISO27001

ISO27001との関係

ISO27701とISO27001は、ISO27001をベースに個人情報保護（プライバシー）を強化する関係にあります。ISO27001は、情報セキュリティ全般を対象とした中心的な規格であり、ISO27701の土台となる存在です。

ISO27001は「情報セキュリティマネジメントシステム（ISMS）」に関する国際規格で、情報セキュリティの三要素である「機密性」「完全性」「可用性」をバランスよく維持・向上させることを目的としています。

ISO27017やISO27018などのアドオン規格を取得する際には、ISO27001とセットで取得する必要があります。
なお、2025年改訂によりISO27701は単独取得も可能になりましたが、情報セキュリティ全体を強化する観点では、ISO27001と組み合わせて運用することが推奨されます。

ISO27017との違い

ISO27017は、クラウドサービスに特化した情報セキュリティ規格であり、対象範囲がISO27701とは異なります。
具体的には、クラウドサービスの提供者および利用者を対象とし、クラウド環境における情報セキュリティリスクに対応するための管理策が定められています。オンプレミス環境ではなく、クラウド特有のリスクに対応している点が特徴です。

一方、ISO27701はクラウドかどうかに関係なく、個人情報そのものの取り扱いに焦点を当てた規格です。つまり、保護対象が「環境」ではなく「情報の種類（個人情報）」にある点が大きな違いです。

なお、ISO27017はISO27001の拡張規格であり、取得するにはISO27001の認証が前提となります。

ISO27018との違い

ISO27018は、主にクラウドサービスプロバイダが取り扱う個人情報の保護を目的としており、クラウド上の個人データに関する管理策が定められています。ISO27017と同様に、クラウド環境に特化している点が特徴です。

一方でISO27701は、クラウド・オンプレミスを問わず、組織全体における個人情報の管理体制を対象としています。より広範な視点でプライバシー保護を実現できる点が違いです。

また、ISO27018もISO27001の拡張規格であり、ISO27001の取得が前提となります。

【比較表】ISO27701とPマークの違い

Pマーク（JIS Q 15001）とは、個人情報保護マネジメントシステムに関する国内規格のことです。認証された事業者が活用できるロゴを見たことがある方も多いのではないでしょうか。

ISO27701とPマークは個人情報保護といった類似していますが、規格そのものに大きな違いがあります。ISO27701はプライバシー法規制に対応する国際的な規格なのに対し、Pマークは日本の個人情報保護法に対応する国内規格です。

以下に、ISO27701とPマーク、またISO27001の主な違いをまとめました。

ISO27701を取得するメリット・デメリット

ここでは、ISO27701を取得するメリット・デメリットについて解説します。

メリット

ISO27701を取得する主なメリットを以下にまとめました。

• 世界各国のプライバシーに関連する法規制に対応するためのフレームワークを構築できる
• 顧客、外部の利害関係者等のステークホルダーに、GDPRおよびその他のプライバシー規制を遵守する効果的な管理システムの存在を示せる
• 国際的に新しく発行された第三者認証なので、他社との差別化に役立つ
• プライバシー保護の役割と責任の透明性が増すことで、GDPRなどのプライバシー規制に準拠する取り組みを推進できる

現在では、顧客情報だけでなく従業員情報も含め、個人情報をまったく扱わない企業はほとんど存在しません。ISO27701を取得することで、こうした個人情報を適切に管理していることを客観的に示すことができます。

また、各国のプライバシー規制への対応を強化することで、情報漏えいや法令違反によるリスクを低減できる点も大きなメリットです。結果として、企業のブランド価値向上や、罰則・損害リスクの回避にもつながります。

デメリット

ISO27701を取得する際に発生する主なデメリットを以下にまとめました。

• 認証取得・維持に費用がかかる
• 社内体制の整備やルール策定に時間と工数が必要
• 継続的な運用・改善（PDCA）を行うためのリソース確保が必要

特に既存の情報管理体制が整っていない場合は、一から仕組みを構築する必要があるため、負担が大きくなる可能性があります。

そのため、ISO27701の導入を検討する際は、自社の事業内容や取り扱う個人情報の範囲、取引先からの要求などを踏まえ、費用対効果を見極めたうえで判断することが重要です。

ISO27701の取得がおすすめの企業の特徴

ISO27701を取得している主な業種は、GDPRの影響を受ける組織です。
GDPRとは、個人データ保護やその取り扱いについて詳細に定められたEU加盟国にノルウェーなど3か国を追加した国々に適用される法令のことです。

これらの対象国に事業所がある、またはサービスを提供している企業はGDPRによる規制の対象となるため対応が必要になります。

またIT業、運送業、人材派遣、小売業、サービス業、クラウドサービス提供者にもおすすめの規格です。

以下の特徴のいずれかに当てはまる企業は、ISO27701の取得を検討することがおすすめです。

• EUに子会社、支店、営業所、駐在員事務所を有している企業
• 日本からEUにサービス（商品）の提供をしている企業
• EUから個人データの処理について委託を受けている企業（DC、クラウドサービスベンダー）
• プライバシー法規制への対処や管理を包括的に行いたい企業
• ISO27001を取得済みだが、より個人情報保護を強化したい企業
• 膨大な数の個人情報を取り扱っている企業

まとめ

個人データの管理については、世界中でプライバシー法規制が厳しくなってきている中で、ISO27701は世界各国のプライバシー法規制に対し、包括的な運用・仕組みに対応する国際認証規格です。

今まで個人情報の規格で多く取得されてきたのはPマークでした。しかし、Pマークは日本独自の規格で国際標準規格ではありません。海外に向けて事業を展開している、もしくはしようとしている企業やGDPRの影響を受ける可能性がある企業はISO27701の取得を検討してみると良いでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。