ISMS-PIMS認証(ISO27701)とは?メリットやPマークとの違いを解説
- ISMS-PIMS認証は、プライバシー情報マネジメントシステムに関する国際規格
- ISMS-PIMS認証は、ISMS認証のアドオン認証
最近ではIT業だけでなく、個人情報の取り扱いが多い業種において、プライバシー保護の体制を強化することが求められています。
日本で有名な認証規格にはプライバシーマーク(Pマーク)がありますが、国際規格としてはISO27701(PIMS)があります。しかし、あまり馴染みがない企業も多いでしょう。
そこで、この記事ではPIMS規格の概要やメリット、プライバシーマークとの違いを解説します。
目次
ISMS-PIMS認証(ISO27701)とは
ISMS-PIMS認証(ISO27701)とは、プライバシー情報マネジメントシステム(Privacy Information Management System)に関する国際規格です。「PIMS」は「ピムス」と読みます。
組織が保有している個人情報を、情報セキュリティリスクから保護・管理することを目的としています。
個人情報の例
ISMS-PIMS認証で管理する情報とは
ISMS-PIMS認証で管理する情報は、「個人情報」です。個人情報とは、生存する特定の個人を識別できる情報のことを指します。
例えば、以下のような内容は個人情報に分類され、ISMS-PIMS認証で管理すべき情報です。
- 氏名
- 住所
- 生年月日
- メールアドレス
- 電話番号
- クレジットカード番号・口座情報
- 個人が特定できるくらい鮮明に映っている動画・写真
- IPアドレス
- 契約者・端末固有IDなど
個人情報の詳細は、以下の記事をご覧ください。
ISMS-PIMS認証が制定された背景
情報資産全般が対象範囲のISMS認証(ISO27001)でも、個人情報は保護対象に含まれています。
しかし、個人情報に関する特有の管理については、ISMS認証の要求事項においては不足している部分が指摘され、問題になっていました。国際的な基準が設けられていないことで、組織内における指針が立てにくく、組織によって個人情報保護に関するレベルは大きく異なりました。
そのため、ISO27701にてプライバシー関連情報の保護・管理における国際的な基準が示されたのです。
ISMS-PIMS認証(ISO27701)の組織の役割とは
ISMS-PIMS認証を取得する際には、選択が必要な組織の役割であるPII管理者とPII処理者について解説します。登録範囲には、両方の役割を選択しても構いません。
PII
PII(PersonallyIdentifiableInformation)とは、「個人識別可能情報」のことです。日本における個人情報とほぼ同義と捉えてください。
PIIにより特定される個人は、「PII主体」と呼ばれています。単独の情報ではPII主体を特定できなくとも、2つ以上の情報によってPII主体が特定できるのであれば、それらの情報はPIIと定義づけられる可能性があります。
例えば、企業内で「営業部門」「女性」「20代」という3つの要素が集まることで、個人を特定できることもあるでしょう。しかし「20代」という情報だけではPII主体を探し出すことは困難です。
このように、単体ではPIIとなりえない情報でも、組み合わせることでPIIとして認識されます。
PII管理者
PII管理者とは、PIIを処理するための目的及び手段を決定するプライバシー利害関係者のことです。ただし、個人が私的な目的でデータを使う場合は除きます。
例えばECサイトを運営する会社が提供している商品販売サービスについて考えてみましょう。
この場合、会社が個人情報の取り扱いについて定め、サイト上で収集した個人情報を利用して会社の商品発送・料金の請求などの処理を行っています。そのため、この会社の役割はPII管理者(PII処理を行う)です。
PII処理者
PII処理者とは、PII管理者の代わりに、かつ指示に従ってPIIを処理するプライバシー利害関係者のことです。
PII処理者の具体例には、個人情報に関する業務を代理で行っている税理士や社労士などが挙げられます。
ISMS-PIMS認証(ISO27701)とISMS認証(ISO27001)・Pマークとの関係性
ここでは、情報セキュリティに関する規格であるISMS認証・PマークとISMS-PIMSとの違いを解説します。
ISMS認証(ISO27001)との関係性
ISMS認証であるISO27001も、ISMS-PIMS規格と同様にISO規格です。両者の違いを以下にまとめました。
認証 | 認証基準 | 保護対象 |
---|---|---|
ISMS認証 | ISO27001の要求事項に適合 | 情報セキュリティ全般 |
ISMS-PIMS規格 | ISO27701の要求事項に適合 | 個人情報 |
また、ISMS-PIMS規格はISO27001のアドオン規格として位置づけられています。そのため、ISMS-PIMS規格を取得するには、ISMS-PIMS規格の取得前もしくは同時にISO27001を取得することが必須です。
ISO27001の詳細は、以下の記事をご覧ください。
Pマークとの関係性
Pマーク(プライバシーマーク)とは、日本産業規格(JIS)により定められている個人情報保護マネジメントシステムです。
ISMS-PIMS認証と同様に、個人情報を保護・管理における認証規格であるため、似ている規格のように思えるかもしれません。
ただし、大きく異なる点としてISMS-PIMS認証が国際規格である一方、Pマークは国内のみで有効な規格であるという点が挙げられます。日本での知名度はPマークの方が高いといえますが、世界各国の企業と取引を行う場合には不十分と判断される可能性があります。
そのため、すでに国際的な取引をしている場合や海外展開を検討している場合には、ISMS-PIMS認証を取得することがおすすめです。
Pマークの詳細は、以下の記事をご覧ください。
ISMS-PIMS認証(ISO27701)の取得メリット
それでは、ISMS-PIMS認証を取得することで、組織にはどのような利点があるのでしょうか。ここでは、ISMS-PIMS認証の取得メリットを解説します。
世界各国のプライバシー法令への対応が可能になる
世界各国には以下のような個人情報に関する法令が制定されています。
- 日本:個人情報保護法
- EU:GDPR(EU一般データ保護規則)
- アメリカ(カリフォルニア州):CCPA(カリフォルニア州消費者プライバシー法)
- 中国:中国サイバーセキュリティ法(インターネット安全法)
- アジア太平洋経済協力(APEC):CBPR(越境プライバシールール)
法令は、自社のプライバシー情報マネジメントシステムを構築する際に、遵守すべき基準として把握しておかなければならないものです。
ISMS-PIMS認証の要求事項には、法令順守に関する項目が策定されています。自社の事業に適用される法令をピックアップして、対応することが求められるのです。
そのため、ISMS-PIMS認証を取得する過程で、法令に対応した仕組みづくりが実現します。
従業員の個人情報管理への意識が高まる
ISMS-PIMS認証を取得するためには、ISO27701の要求事項を満たすマネジメントシステムを構築・運用することが必要です。そのために、個人情報管理に対する対策やルール、マニュアルが整備されていきます。
こうした内容に取り組むうちに、従業員の個人情報管理に対する意識も高まりにつながるでしょう。
取引先や消費者からの信頼の醸成
ISMS-PIMS認証を取得できれば、自社の個人情報管理体制が国際基準を満たしているという証明につながります。そのため、取引先や消費者からの信頼の獲得が期待できるでしょう。また、認証を取得していない競合他社との差別化も期待できます。
特に、ISO27001の取得が、取引を行ううえで必須になっている企業もあります。ISO27001とISMS-PIMS認証をあわせて取得することで、自社の個人情報管理に意識の高さをよりアピールできるでしょう。
ISMS-PIMS認証(ISO27701)の取得デメリット
ISMS-PIMS認証を取得するメリットを紹介しましたが、デメリットはあるのでしょうか。ここでは、ISMS-PIMS認証を取得することで発生するデメリットを解説します。
取得に手間や負担がかかる
ISMS-PIMS認証を取得するには、要求事項に沿ってプライバシー情報マネジメントシステムを構築・運用しなければなりません。その過程で、新しいルールや文書を作成する必要も出てくるでしょう。また、社員には個人情報管理に関する研修・教育を受講することも求められます。
さらに、ISMS認証であるISO27001を取得していない企業であれば、ISO27001の要求事項においても取り組む必要があります。
そのため、自社の負担をできる限り削減し、スムーズな取得を目指すには、プロの信頼できるコンサルティング業者にサポートを依頼することがおすすめです。
取得に費用がかかる
ISMS-PIMS認証を取得するには、審査機関による審査に通過することが必要です。その際には審査費用がかかります。
審査費用は「組織の役割」、「事業内容」、「対象組織の規模」、「審査機関」などにより変動します。複数の審査機関に見積もりを取って確認すると良いでしょう。
また、要求事項を満たすために新しい設備・システムの導入が必要であれば設備投資にコストがかかる可能性もあるでしょう。例えば、ホームページのリニューアルや顧客情報システムの変更などが必要になる場合もあります。
ISMS-PIMS認証(ISO27701)の取得がおすすめの企業
最後に、ISMS-PIMS認証の取得がおすすめの企業の特徴を以下にまとめました。
- 海外展開を検討しているが、自社の事業活動に関連するプライバシー法の規制に対応した仕組みを構築したい
- 個人情報の管理がうまくできておらず、包括的な管理を実現したい
- 国際的な海外展開において、ISMS-PIMS認証を自社の強みとしたい
- すでにISO27001を取得しており、さらにリスクマネジメントを積極的に推進したい
繰り返しになりますが、ISMS-PIMS認証を取得するには情報セキュリティ全般の管理が対象であるISO27001の取得も必要です。
そのため、ISO27001とISMS-PIMS認証の両方を取得できれば、自社の情報セキュリティをより強固なものにできるため、取引先や顧客に安心感・信頼感を与えたい場合もおすすめです。
まとめ
この記事では、ISMS-PIMS認証の概要や取得メリット、ISMS認証・Pマークとの違いについて解説しました。
個人情報取り扱いに関する管理を強固にすることは、国際的に求められている組織の役割です。そのため、ISMS-PIMS認証の取得は、取引先や消費者に向けて、自社の取り組みをアピールできる機会となるでしょう。
Pマークを取得している企業でも、今後海外展開を目指している企業や世界各国のプライバシー法規制に対応したい企業は、ISMS-PIMS認証の取得を検討してみはいかがでしょうか。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい