ISMS-PIMS認証（ISO27701）とは？メリットやPマークとの違いを解説

最近ではIT業だけでなく、個人情報の取り扱いが多い業種において、プライバシー保護の体制を強化することが求められています。

日本で有名な認証規格 にはプライバシーマーク（Pマーク）がありますが、国際規格としては ISO 27701（PIMS）があります。しかし、あまり馴染みがない企業も多いでしょう。

そこで、この記事ではPIMS規格の概要やメリット、プライバシーマークとの違いを解説します。

ISMS-PIMS認証（ISO27701）とは

ISMS -PIMS認証（ISO27701）とは、プライバシー情報マネジメントシステム（Privacy Information Management System）に関する国際規格です。「PIMS」は「ピムス」と読みます。

組織が保有している個人情報を、情報セキュリティリスクから保護・管理することを目的としています。

個人情報の例

それでは、そもそも「個人情報」とはどのような情報を指すのでしょうか。
個人情報とは、生存する特定の個人を識別できる情報のことです。

例えば、以下のようなものは、個人情報に分類され、ISMS-PIMS認証で管理すべき情報です。

• 氏名
• 住所
• 生年月日
• メールアドレス
• 電話番号
• クレジットカード番号・口座情報
• 個人が特定できるくらい鮮明に映っている動画・写真
• IPアドレス
• 契約者・端末固有IDなど

個人情報の詳細は、以下の記事をご覧ください。

組織の役割

ISMS-PIMS認証を取得する際には、組織は以下の2つから自社の役割を選択することが必要です。両方の役割を選択しても構いません。

PII (Personally Identifiable Information)とは、個人情報とほぼ同義と捉えてください。

PII管理者

PIIを処理するための目的及び手段を決定するプライバシー利害関係者
※個人が私的な目的でデータを使う場合を除く

PII処理者

PII管理者の代わりに、かつ指示に従ってPIIを処理するプライバシー利害関係者

ISMS-PIMS認証（ISO27701）とISMS認証（ISO27001）・Pマークとの関係性

ここでは、情報セキュリティに関する規格であるISMS認証・PマークとISMS-PIMSとの違いを解説します。

ISMS認証（ISO27001）との関係性

ISMS認証であるISO27001も、ISMS-PIMS規格と同様にISO規格です。両者の違いを以下にまとめました。

また、ISMS-PIMS規格はISO27001のアドオン規格として位置づけられています。そのため、ISMS-PIMS規格を取得するには、ISMS-PIMS規格の取得前もしくは同時にISO27001を取得することが必須です。

ISO27001の詳細は、以下の記事をご覧ください。

Pマークとの関係性

Pマーク（プライバシーマーク）とは、日本産業規格（JIS）により定められている個人情報保護マネジメントシステムです。

ISMS-PIMS認証と同様に、個人情報を保護・管理における認証規格であるため、似ている規格のように思えるかもしれません。
ただし、大きく異なる点としてISMS-PIMS認証が国際規格である一方、Pマークは国内のみで有効な規格であるという点が挙げられます。日本での知名度はPマークの方が高いといえますが、世界各国の企業と取引を行う場合には不十分と判断される可能性があります。
そのため、すでに国際的な取引をしている場合や海外展開を検討している場合には、ISMS -PIMS認証を取得することがおすすめです。

Pマークの詳細は、以下の記事をご覧ください。

ISMS-PIMS認証（ISO27701）の取得メリット

それでは、ISMS-PIMS認証を取得することで、組織にはどのような利点があるのでしょうか。ここでは、ISMS-PIMS認証の取得メリットを解説します。

世界各国のプライバシー法令への対応が可能になる

世界各国には以下のような個人情報に関する法令が制定されています。

• 日本：個人情報保護法
• EU：GDPR（EU一般データ保護規則）
• アメリカ（カリフォルニア州）：CCPA（カリフォルニア州消費者プライバシー法）
• 中国：中国サイバーセキュリティ法（インターネット安全法）
• アジア太平洋経済協力（APEC）：CBPR（越境プライバシールール）

法令は、自社のプライバシー情報マネジメントシステムを構築する際に、遵守すべき基準として把握しておかなければならないものです。
ISMS-PIMS認証の要求事項には、法令順守に関する項目が策定されています。自社の事業に適用される法令をピックアップして、対応することが求められるのです。
そのため、ISMS-PIMS認証を取得する過程で、法令に対応した仕組みづくりが実現します。

従業員の個人情報管理への意識が高まる

ISMS-PIMS認証を取得するためには、ISO27701の要求事項を満たすマネジメントシステムを構築・運用することが必要です。そのために、個人情報管理に対する対策やルール、マニュアルが整備されていきます。

こうした内容に取り組むうちに、従業員の個人情報管理に対する意識も高まりにつながるでしょう。

取引先や消費者からの信頼の醸成

ISMS-PIMS認証を取得できれば、自社の個人情報管理体制が国際基準を満たしているという証明につながります。そのため、取引先や消費者からの信頼の獲得が期待できるでしょう。また、認証を取得していない競合他社との差別化も期待できます。

特に、ISO27001の取得が、取引を行ううえで必須になっている企業もあります。ISO27001とISMS-PIMS認証をあわせて取得することで、自社の個人情報管理に意識の高さをよりアピールできるでしょう。

ISMS-PIMS認証（ISO27701）の取得デメリット

ISMS-PIMS認証を取得するメリットを紹介しましたが、デメリットはあるのでしょうか。ここでは、ISMS-PIMS認証を取得することで発生するデメリットを解説します。

取得のために手間や負担がかかる

ISMS-PIMS認証を取得するには、要求事項に沿ってプライバシー情報マネジメントシステムを構築・運用しなければなりません。その過程で、新しいルールや文書を作成する必要も出てくるでしょう。また、社員には個人情報管理に関する研修・教育を受講することも求められます。

さらに、ISMS認証であるISO27001を取得していない企業であれば、ISO27001の要求事項においても取り組む必要があります。
そのため、自社の負担をできる限り削減し、スムーズな取得を目指すには、プロの信頼できるコンサルティング業者にサポートを依頼することがおすすめです。

取得に費用がかかる

ISMS-PIMS認証を取得するには、審査機関による審査に通過することが必要です。その際には審査費用がかかります。
審査費用は「組織の役割」、「事業内容」、「対象組織の規模」、「審査機関」などにより変動します。複数の審査機関に見積もりを取って確認すると良いでしょう。

また、要求事項を満たすために新しい設備・システムの導入が必要であれば設備投資にコストがかかる可能性もあるでしょう。例えば、ホームページのリニューアルや顧客情報システムの変更などが必要になる場合もあります。

ISMS-PIMS認証（ISO27701）の取得がおすすめの企業

最後に、ISMS-PIMS認証の取得がおすすめの企業の特徴を以下にまとめました。

• 海外展開を検討しているが、自社の事業活動に関連するプライバシー法の規制に対応した仕組みを構築したい
• 個人情報の管理がうまくできておらず、包括的な管理を実現したい
• 国際的な海外展開において、ISMS-PIMS認証を自社の強みとしたい
• すでにISO27001を取得しており、さらにリスクマネジメントを積極的に推進したい

繰り返しになりますが、ISMS-PIMS認証を取得するには情報セキュリティ全般の管理が対象であるISO27001の取得も必要です。
そのため、ISO27001とISMS-PIMS認証の両方を取得できれば、自社の情報セキュリティをより強固なものにできるため、取引先や顧客に安心感・信頼感を与えたい場合もおすすめです。

まとめ

この記事では、ISMS-PIMS認証の概要や取得メリット、ISMS認証・Pマークとの違いについて解説しました。

個人情報取り扱いに関する管理を強固にすることは、国際的に求められている組織の役割です。そのため、ISMS-PIMS認証の取得は、取引先や消費者に向けて、自社の取り組みをアピールできる機会となるでしょう。

Pマークを取得している企業でも、今後海外展開を目指している企業や世界各国のプライバシー法規制に対応したい企業は、ISMS-PIMS認証の取得を検討してみはいかがでしょうか。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。