【入門】ISO27701とは?概要やPマークとの違いを解説
- ISO27701はISO27001(ISMS)のアドオン(拡張)規格で、個人情報マネジメントシステムに関する規格である
- ISO27701は組織が扱う個人情報について、プライバシーの観点で管理・保護していく
- 主な取得業種は、GDPRの影響を受ける組織を主な対象としている
- ISO27701を取得することでGDPRを始めとした各国のプライバシー保護規定を考慮した仕組みを構築できる
ISO27701は組織が扱う個人情報について、プライバシーの観点で管理・保護していく国際規格です。GDPR(EU)をはじめとしたプライバシー法規制に対応でき、企業が関わる全てのステークホルダーのプライバシー保護を目指します。
個人情報の保護については世界中で動きがある中で、グーグルがユーザーの事前の同意なしに「クッキー」を送付したとして、1日につき1億ユーロの罰金を科されました。(フランスの個人情報保護に関する国内法第82条に違反)
世界的に個人情報の保護が強化される中、ISO27701はどのような役割を果たすのでしょうか。今回は、ISO27701の基本的な情報を分かりやすく解説していきたいと思います。
目次
ISO27701とは
ISO27701とは、プライバシー情報マネジメントシステム(PIMS:Personal Information Management System)に関する国際認証規格です。世界各国のプライバシー法規制に対し包括的な運用・仕組みに対応することが可能になります。
サイバー攻撃や不正アクセス、紛失・改ざんなどの情報セキュリティリスクから組織が取り扱う情報資産のうち、個人情報に限定した「プライバシー情報の保護」を目指しています。
のちほど解説しますが、ISO27701はISO27001(情報セキュリティマネジメントシステム)のアドオン規格(特定の規格の取得を前提とし、追加で取得できる規格)です。そのためISO27001と同時に取得するか、ISO27001を事前に取得することが必要です。
ISO27701が発行された背景
ISO27701は2019年8月に発行された新しい規格です。近年ではIT技術の進化により、クラウドサービスなどのさまざまなITサービスが普及しています。
そして消費者がインターネット上でサービスを利用するために、個人情報をサービス提供元の企業に預ける機会が増えました。こうした機会の増加に伴い、「安全に個人情報(PII)を取り扱ってほしい」というニーズが増えたことがISO27701発行の背景にあります。
情報セキュリティにおけるISO27701の位置づけ
ISO27701はあくまで個人情報や個人情報に関わるプライバシーを保護するための仕組みであり、情報セキュリティ全般におけるセキュリティ対策はできません。
そこで、ここで情報セキュリティにおけるISO規格を知ることで、ISO27701の位置づけを理解しましょう。
ISO27001
情報セキュリティマネジメントシステム(ISMS)に関する規格。
情報セキュリティの三要素「機密性」「完全性」「可用性」を向上させることを目的としている。
ISO27000シリーズにおける中心的な規格であり、ISO27017やISO27018などのアドオン規格を取得する際には、ISO27001とセットで取得する必要がある。
ISO27017
クラウドサービスにおける情報セキュリティに関する規格。
対象が「クラウドサービスの利用または提供している事業者」、もしくは「利用・提供の両方をしている事業者」のみに限定されており、クラウドサービスに特化した要求事項を示している。
ISO27001のアドオン規格であるため、ISO27001と同時に取得するか、ISO27001を事前に取得する必要がある。
ISO27018
クラウドサービスにおける個人情報セキュリティに関する規格。
ISO27017よりもさらに対象が狭く、クラウドサービスにおける個人情報に特化した管理策を示している。
ISO27001のアドオン規格であるため、ISO27001と同時に取得するか、ISO27001を事前に取得する必要がある。
ISO27000シリーズは、情報セキュリティを強固にするために、対象ごとに規格を発行しています。シリーズの中心となるのは、一般的な情報セキュリティ全般が対象のISO27001です。
そのためISO27701もISO27001のアドオン規格であるため、ISO27701の適用範囲もISO27001の適用範囲内であることが必要です。
ISO27701とPマークの違い
Pマーク(JIS Q 15001)とは、個人情報保護マネジメントシステムに関する国内規格のことです。認証された事業者が活用できるロゴを見たことがある方も多いのではないでしょうか。
ISO27701とPマークは個人情報保護といった類似していますが、規格そのものに大きな違いがあります。ISO27701はプライバシー法規制に対応する国際的な規格なのに対し、Pマークは日本の個人情報保護法に対応する国内規格です。
以下に、ISO27701とPマーク、またISO27001の主な違いをまとめました。
| ISO27001(ISMS) | ISO27701(PIMS) | Pマーク | |
|---|---|---|---|
| 規格 | 国際標準規格 | 日本工業規格(日本独自の規格) | |
| 対象となる情報資産 | 適用範囲内の全ての情報資産 | 組織が扱う個人情報についてのプライバシー | 企業の全個人情報 |
| 要求 | 情報の機密性・完全性・可用性の維持 | 個人情報(PII)とそれに関わるプライバシーまでの保護 | 適切な個人情報の取り扱い |
| 取得可能範囲 | 企業全体だけでなく、1つの部署や支店に限定できる | ISO27001と同じ認証範囲かISO27001の認証範囲の中の一部 | 企業全体のみ |
| 規格の柔軟性 | 取得する企業に合わせてルールや文書を作成できる | 手順書や作成する文書があらかじめ決められているため、どの企業もルールや文書に大きな違いはない | |
| 取得企業の特徴 | BtoB | BtoB、BtoC | BtoC |
ISO27701取得のメリット
ここでは、ISO27701を取得するメリットについて解説します。
- 世界各国のプライバシーに関連する法規制に対応するためのフレームワークを構築できる
- 顧客、外部の利害関係者等のステークホルダーに、GDPRおよびその他のプライバシー規制を遵守する効果的な管理システムの存在を示せる
- 国際的に新しく発行された第三者認証なので、他社との差別化に役立つ
- プライバシー保護の役割と責任の透明性が増すことで、GDPRなどのプライバシー規制に準拠する取り組みを推進できる
従業員情報も含めると、個人情報を一切取り扱っていない組織はほとんどいないでしょう。
ISO27701を取得することで、全ての個人情報の取り扱い、特に「顧客の個人情報の取り扱い」をしっかりと管理していることをアピールできます。
また各国のプライバシー規制の順守を通じ、個人情報保護違反を防止することで、高額な罰金から自社を守ることにもつながります。
ISO27701の取得がおすすめの企業の特徴
ISO27701を取得している主な業種は、GDPRの影響を受ける組織です。
GDPRとは、個人データ保護やその取り扱いについて詳細に定められたEU加盟国にノルウェーなど3か国を追加した国々に適用される法令のことです。
これらの対象国に事業所がある、またはサービスを提供している企業はGDPRによる規制の対象となるため対応が必要になります。
またISO27001のアドオン規格ということからIT業、運送業、人材派遣、小売業、サービス業、クラウドサービス提供者にもおすすめの規格です。
以下の特徴のいずれかに当てはまる企業は、ISO27701の取得を検討することがおすすめで
- EUに子会社、支店、営業所、駐在員事務所を有している企業
- 日本からEUにサービス(商品)の提供をしている企業
- EUから個人データの処理について委託を受けている企業(DC、クラウドサービスベンダー)
- プライバシー法規制への対処や管理を包括的に行いたい企業
- ISO27001を取得済みだが、より個人情報保護を強化したい企業
- 膨大な数の個人情報を取り扱っている企業
まとめ
個人データの管理については、世界中でプライバシー法規制が厳しくなってきている中で、ISO27701は世界各国のプライバシー法規制に対し、包括的な運用・仕組みに対応する国際認証規格です。
今まで個人情報の規格で多く取得されてきたのはPマークでした。しかし、Pマークは日本独自の規格で国際標準規格ではありません。海外に向けて事業を展開している、もしくはしようとしている企業やGDPRの影響を受ける可能性がある企業はISO27701の取得を検討してみると良いでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい