プライバシーを守る国際規格ISO27701とは?
- ISO27701はISO27001(ISMS)のアドオン(拡張)規格で、個人情報マネジメントシステムに関する規格である
- ISO27701は組織が扱う個人情報について、プライバシーの観点で管理・保護していく
- 主な取得業種は、GDPRの影響を受ける組織を主な対象としている
- ISO27701を取得することでGDPRを始めとした各国のプライバシー保護規定を考慮した仕組みを構築できる
ISO 27701は組織が扱う個人情報について、プライバシーの観点で管理・保護していく国際規格 です。GDPR (EU)をはじめとしたプライバシー法規制に対応でき、企業が関わる全てのステークホルダーのプライバシー保護を目指します。
個人情報の保護については世界中で動きがある中で、グーグルがユーザーの事前の同意なしに「クッキー」を送付したとして、1日につき1億ユーロの罰金を科されました。 (フランスの個人情報保護に関する国内法第82条に違反)
世界的に個人情報の保護が強化される中、ISO27701はどのような役割を果たすのでしょうか。今回は、ISO27701の基本的な情報を分かりやすく解説していきたいと思います。
目次
ISO27701とは
ISO27701認証とは
ISO27701(PIMS:Personal Information Management System)は、世界各国のプライバシー法規制に対し包括的な運用・仕組みに対応する国際認証
規格として2019年8月に発行されました。
組織が取り扱う全て個人情報に該当する部分に限定した、「プライバシーの保護」に取り組む情報セキュリティマネジメントシステムの認証規格です。
他の情報規格との違い
ISO27701とISO27001を比較
ISO27001
とISO27701は対象となる情報資産が異なります。
まず、ISO27001は、企業や組織が保有している資産価値のある情報の「全て」が対象となります。そして保有する情報資産を洗い出し、「機密性
・完全性
・可用性」の観点で情報資産に対するリスク対策の是非を検討します。
一方、ISO27701は、組織が扱う個人情報についてプライバシーの観点で保護していきます。ISO27701はISO27001のアドオン規格のため、ISO27001の
適用範囲
内での「プライバシー保護」に限定されます。
またISO27001の取得に向いているのは、国外企業と取引がある場合や海外拠点を保有している企業、BtoBの企業などです。一方でISO27701は全てのステークホルダーの個人情報を保護するという観点からBtoB、BtoC向け企業の両方が対象となります。
ISO27701とPマークを比較
ISO27701とPマーク(JIS Q15001)は個人情報保護といった類似していますが、規格そのものに大きな違いがあります。
ISO27701はプライバシー法規制に対応する国際的な規格なのに対し、Pマークは日本の個人情報保護法に限定日本のみで通用する規格です。
適用範囲では、ISO27701はISO27001の取得範囲内の中から限定できますが、Pマークは適用範囲が企業全体と規格で決められているため、個人情報を取り使わない部署も対象となります。
また、規格の柔軟性についても、ISO27701は企業の状況に合わせてルールや文書を作成するのに対し、Pマークは手順書や作成する文書があらかじめ決められているため、企業に合わせてルールや文書を構築することができません。
ISO27701はBtoB、BtoC向け企業の両方に適していますが、Pマークは主にBtoCなどの個人情報を収集して取り扱う企業に取得が向いています。
ISO27001(ISMS)、ISO27701(PIMS)、Pマーク比較表
| ISO27001(ISMS) | ISO27701(PIMS) | Pマーク | |
|---|---|---|---|
| 規格 | 国際標準規格 | 日本工業規格(日本独自の規格) | |
| 対象となる情報資産 | 適用範囲内の全ての情報資産 | 組織が扱う個人情報についてのプライバシー | 企業の全個人情報 |
| 要求 | 情報の機密性・完全性・可用性の維持 | 個人情報(PII)とそれに関わるプライバシーまでの保護 | 適切な個人情報の取り扱い |
| 取得可能範囲 | 企業全体だけでなく、1つの部署や支店に限定することができる | ISO27001と同じ認証範囲かISO27001の認証範囲の中の一部 | 企業全体のみ |
| 規格の柔軟性 | 取得する企業に合わせてルールや文書を作成することができる | 手順書や作成する文書があらかじめ決められているため、どの企業もルールや文書に大きな違いはない | |
| 対象 | BtoB | BtoB、BtoC | BtoC |
ISO27701の主な取得業種
ISO27701は、GDPRの影響を受ける組織が主な取得業種になります。
GDPRとは、個人データ保護やその取扱いについて詳細に定められたEU加盟国にノルウェーなど3か国を追加した国々に適用される法令のことです。
これらの対象国に事業所がある、またはサービスを提供している企業はGDPRによる規制の対象となるため対応が必要です。
また、ISO27001のアドオン規格ということからIT業、運送業、人材派遣、小売業、サービス業、クラウドサービス提供者からの需要が高いと予想されます。
(例)
- EUに子会社、支店、営業所、駐在員事務所を有している
- 日本からEUにサービス(商品)の提供をしている
- EUから個人データの処理について委託を受けている(DC、クラウドサービスベンダー)
ISO27701取得の意味
ISO27701の取得の意味としてはGDPRを始めとした国外のプライバシー法規制に対応できるところです。
2018年にGDPRが施工されてから世界中でプライバシーを保護する動きが活発化しました。その後、カリフォルニア州のCCPAや日本の改正個人情報保護、韓国や中国など世界各国で個人情報やプライバシーに関連する法律が施行されたのです。
日本でも改正個人情報保護が施工されたことで、漏えい時の報告義務や不適切な利用の禁止など事業者の責務が追加され、法令違反に対するペナルティが強化されました。
こういった背景から企業はグローバルな視点で各国のプライバシー法規制への留意が必要になります。
取得のメリット
従業員情報も含めると、個人情報を全く取り扱っていない組織は殆どいないでしょう。例えば「自社の従業員の個人情報の取り扱い」のみを適用範囲としても対外的なアピールとしてはあまり意味がないかと思います。
ISO27701では、全ての個人情報の取り扱い、特に「顧客の個人情報の取り扱い」をしっかりやっていますとアピールできます。
また、各国のプライバシー規制の順守を通じ、個人情報保護違反を防ぎ、高額な罰金から自社を守ることにも繋がります。
- 世界各国のプライバシーに関連する法規制に対応する為のフレームワークを構築することができる
- 顧客、外部の利害関係者等のステークホルダーに、GDPRおよびその他のプライバシー規制を遵守する効果的な管理システムの存在を示すことができる
- 国際的に新しく作られた第三者認証なので、他社との差別化を図る上で世界的に効果を発揮できる
- プライバシー保護の役割と責任の透明性が増すことで、GDPRなどのプライバシー規制に準拠する取り組みを推進できる
【外部】
- 信頼度向上
- 取引先の拡大
- 他社との差別化
- 法令の遵守
- 個人情報の保護に関する説明責任
【内部】
- 従業員意識の向上
- 事業継続性の向上
- 個人情報のリスク管理向上
- 業務効率の向上
まとめ
個人データの管理については、世界中でプライバシー法規制が厳しくなってきている中で、ISO27701は世界各国のプライバシー法規制に対し、包括的な運用・仕組みに対応する国際認証規格です。
今まで個人情報の規格で多く取得されてきたのはPマークでした。しかし、Pマークは日本独自の規格で国際標準規格ではありません。海外に向けて事業を展開している、もしくはしようとしている企業やGDPRの影響を受ける可能性がある企業はISO27701の取得を検討してみると良いでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい