【2025年改訂】PIMS認証（ISO27701）とは？メリット・Pマークとの違いを解説

PIMS認証であるISO27701とは、個人情報保護マネジメントシステムの国際規格です。日本で有名な認証規格には、国内規格であるプライバシーマーク（Ｐマーク）があります。

最近ではIT業だけでなく、個人情報の取り扱いが多い業種において、プライバシー保護の体制を強化することが求められています。

そこで、この記事ではISMS-PIMS規格の概要やメリット、プライバシーマークとの違いを解説します。

PIMS認証（ISO27701）とは？

ISMS-PIMS認証（ISO27701）とは、プライバシー情報マネジメントシステムに関する国際規格です。「PIMS」の正式名称は、「Privacy Information Management System」であり、「ピムス」と読みます。

組織が保有している個人情報を、情報セキュリティリスクから保護・管理するための仕組みを構築・運用します。
具体的には、組織が保有・取り扱う個人情報について「どのような情報セキュリティリスクがあるのかを把握する」「どのように管理するか」「どのように安全性を確保するか」といったルールを体系的に整備し、実際にそのルールに取り組むことを求めています。

なお、ISO27001の拡張規格（アドオン規格）として策定されているため、ISO27001と同時に取得するか、ISO27001を先に取得している必要があります。

最近では、企業が扱う個人情報の量が増え、プライバシー保護に対する社会的要求も高まっているため、PIMS認証を取得する企業は増加傾向にあります。

対象となる個人情報「PII」

PIMS認証の対象となる情報は、「PII(Personally Identifiable Information：個人識別可能情報)という生存する特定の個人を識別できる情報」のことです。日本で一般的に使う個人情報とほぼ同義です。

PIIにより特定される個人は、「PII主体」と呼ばれています。
単独の情報ではPII主体を特定できなくとも、2つ以上の情報によってPII主体が特定できるのであれば、それらの情報はPIIと定義づけられる可能性があります。

例えば、以下のような情報がPIMS認証で管理すべき情報です。

• 氏名
• 住所
• 生年月日
• メールアドレス
• 電話番号
• クレジットカード番号・口座情報
• 個人が特定できるくらい鮮明に映っている動画・写真
• IPアドレス
• 契約者・端末固有IDなど

個人情報の詳細は、以下の記事をご覧ください。

対象となる「組織の役割」とは？

対象となる「組織の役割」とは、個人情報を扱う目的や方法を決めるPII管理者か、管理者の指示に従って個人情報を処理するPII処理者のいずれか、または両方の立場のことです。

そこで、ここではPIMS認証における「PII管理者」と「PII処理者」について解説します。

PII管理者

PIIを処理するための目的及び手段を決定するプライバシー利害関係者のことです。ただし、個人が私的な目的でデータを使う場合は除きます。

PII処理者

PII管理者の代わりに、かつ指示に従ってPIIを処理するプライバシー利害関係者のことです。

以下に、PIIやPII管理者、PII処理者の違いをまとめましたので、参考にしてください。

PIMS認証2025年版の主な変更点とは？

PIMS認証2025年版のポイントは、「独立した規格として再構成されたこと」と「管理策の構造が整理されたこと」です。

ここでは、2つの変更点について詳しく解説します。

変更点1：単独取得可能になった

2025年版からISO27001を取得することなく、PIMS認証単独での取得が可能になりました。

従来は、ISO27001の仕組みを前提とした拡張規格（アドオン規格）であったため、導入のハードルが高い側面がありました。しかし今回の改訂により、PIMS単体でマネジメントシステムを構築できるようになり、導入の自由度が高まっています。

この変更により、必ずしも情報セキュリティ全体の認証を取得していなくても、プライバシー保護に特化した取り組みを優先的に進めることが可能になりました。
個人情報の取り扱いが重要な業種や海外規制への対応を求められる企業にとって、より現実的で導入しやすい規格へと進化しています。

変更点2：附属書Aの構成が整理された

2025年版では以下のように附属書Aの構成が見直され、管理策の全体像を把握しやすくなりました。

従来の2019年版では、PII管理者とPII処理者の要求事項が分散していましたが、今回の改訂により関連する管理策が整理・統合され、体系的に確認できる構造へと改善されています。

これにより、担当者が必要な要件をスムーズに把握できるようになり、運用時の負担も軽減されるでしょう。

PIMS認証（ISO27701）とISMS・ISO27001との関係性

ここでは、PIMS認証と混同しやすい「ISMS」「ISO27001」との関係性について解説します。

ISMSとの関係性

PIMS認証（ISO27701）とISO27001は、ISO27001を基盤としたISMSに、個人情報保護の管理体制（PIMS）を追加・拡張する関係性です。

ISMSは情報資産全体を管理する仕組みであり、PIMS認証（ISO27701）はその中でも「個人情報」に特化した位置づけにあります。

ISMS（情報セキュリティマネジメントシステム）は、企業が保有するあらゆる情報資産を対象に、「機密性」「完全性」「可用性」を維持・向上させるための管理体制そのものです。つまり、顧客情報だけでなく、営業情報や技術情報なども含めた広範な情報を守ることが目的です。

一方で、PIMS（ISO27701）は、そのISMSの考え方をベースにしながら、「個人情報の取り扱い」に特化して強化した認証規格です。個人情報の収集・利用・保管・提供といったプロセスにおいて、より詳細な管理やルール整備が求められます。

このように、ISMSが「情報セキュリティ全体の基盤」であるのに対し、PIMSは「個人情報保護を強化するための仕組み」という関係性にあります。両者を組み合わせて運用することで、情報資産全体と個人情報の両面から、より高度なリスク管理が実現できます。

ISO27001との関係性

ISMSとISO27001は、ISO27001という国際規格に基づいてISMS（情報セキュリティマネジメントシステム）を構築・運用するという関係性があります。

ISMS認証であるISO27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。

PIMS規格と同様にISO規格であり、要求事項を満たすISMSを構築・運用することで取得できます。

両者の違いを以下にまとめました。

2025年の改訂によりISO27701は独立した規格へと見直され、単独での認証取得も可能となっています。

ただし、ISO27701はISO27001の考え方をベースに設計されているため、両者を組み合わせて運用することで、情報セキュリティとプライバシー保護を一体的に強化できる点は変わりません。

そのため、企業の情報管理体制をより強固にしたい場合は、ISO27001とISO27701を併用することが非常に有効です。

ISO27001の詳細は、以下の記事をご覧ください。

PIMS認証とプライバシーマーク（Pマーク）の違い

どちらも個人情報保護を目的とした認証制度ですが、その性質や評価される場面は大きく異なります。
PIMS認証（ISO27701）は国際規格であり、海外を含めた取引において有効性が高い一方、Pマークは日本国内に特化した規格として広く認知されています。

以下に、PIMS認証とプライバシーマークの主な違いをまとめました。

このように、PIMS認証は国際的な信頼性を重視する企業に適しており、海外企業との取引やグローバル展開を視野に入れている場合に有効です。
一方で、Pマークは日本国内での認知度が高く、特にBtoCビジネスや官公庁・大手企業との取引において有利に働くケースが多くあります。

そのため、自社のビジネス領域や今後の展開を踏まえたうえで、どちらを取得するかを選択することが重要です。

Pマークの詳細は、以下の記事をご覧ください。

PIMS認証（ISO27701）の取得メリット

PIMS認証（ISO27701）の取得メリットは、企業や組織の運営において有利に働く場面が多くなる点です。ここでは、PIMS認証の取得メリットについて、取得後に見込まれる具体的な効果とともに解説します。

世界各国のプライバシー法令への対応が可能になる

世界各国には以下のような個人情報に関する法令が制定されています。

• 日本：個人情報保護法
• EU：GDPR（EU一般データ保護規則）
• アメリカ（カリフォルニア州）：CCPA（カリフォルニア州消費者プライバシー法）
• 中国：中国サイバーセキュリティ法（インターネット安全法）
• アジア太平洋経済協力（APEC）：CBPR（越境プライバシールール）

法令は、自社のプライバシー情報マネジメントシステムを構築する際に、遵守すべき基準として把握しておかなければならないものです。
PIMS認証の要求事項には、法令順守に関する項目が策定されています。自社の事業に適用される法令をピックアップして、対応することが求められるのです。
そのため、PIMS認証を取得する過程で、法令に対応した仕組みづくりが実現します。

従業員の個人情報管理への意識が高まる

PIMS認証を取得するためには、ISO27701の要求事項を満たすマネジメントシステムを構築・運用することが必要です。そのために、個人情報管理に対する対策やルール、マニュアルが整備されていきます。

こうした内容に取り組むうちに、従業員の個人情報管理に対する意識の向上につながるでしょう。

取引先や消費者からの信頼の醸成

PIMS認証を取得できれば、自社の個人情報管理体制が国際基準を満たしているという証明につながります。そのため、取引先や消費者からの信頼の獲得が期待できるでしょう。また、認証を取得していない競合他社との差別化も期待できます。

特に、取引を行ううえでISO27001の取得が必須になっている企業もあります。ISO27001とPIMS認証をあわせて取得することで、自社の個人情報管理に意識の高さをよりアピールできるでしょう。

PIMS認証（ISO27701）の取得デメリット

PIMS認証を取得することで発生するデメリットとして挙げられるのは、以下の2項目です。

• 取得に手間や負担がかかる
• 取得に費用がかかる

ここでは、PIMS認証を取得するデメリットや、デメリットをカバーするための対策方法について解説します。

取得に手間や負担がかかる

PIMS認証を取得するには、要求事項に沿ってプライバシー情報マネジメントシステムを構築・運用しなければなりません。その過程で、新しいルールや文書を作成する必要も出てくるでしょう。また、社員には個人情報管理に関する研修・教育を受講することも求められます。

そのため、自社の負担をできる限り削減し、スムーズな取得を目指すには、プロの信頼できるコンサルティング業者にサポートを依頼することがおすすめです。

取得に費用がかかる

PIMS認証を取得するには、審査機関による審査に通過することが必要です。その際には審査費用がかかります。
審査費用は「組織の役割」「事業内容」「対象組織の規模」「審査機関」などにより変動します。複数の審査機関に見積もりを取って確認すると良いでしょう。

また、要求事項を満たすために新しい設備・システムの導入が必要であれば設備投資にコストがかかる可能性もあるでしょう。例えば、ホームページのリニューアルや顧客情報システムの変更などが必要になる場合もあります。

PIMS認証（ISO27701）取得の流れ

以下に、PIMS認証（ISO27701）を取得する一般的な流れをまとめました。

1. PIMS認証（ISO27701）取得の準備（社員への周知、ISOコンサルへのサポート依頼、ISO担当者の選任など）を行う
2. 適用範囲を決定する
3. 個人情報（PII）資産を特定する
4. PII処理における固有のリスクアセスメントの実施
5. PII処理に関する文書作成
6. 内部監査・マネジメントレビューの実施
7. 認証審査を受ける
8. 認証取得

詳細については、ISOコンサルへのサポート依頼を行う際に確認しましょう。

【調査】今、PIMS認証（ISO27701）を取得すべき？

PIMS認証（ISO27701）は、国際的に通用する個人情報保護体制の証明として取得すべき認証です。

近年は、ECサイトやサブスクリプションサービスの普及により、ユーザーが企業へ個人情報を提供する機会が増えています。その一方で、情報漏えいや不正利用に対する不安も高まっており、企業にはより高いレベルのプライバシー管理が求められています。

ここでは、「個人情報保護＝企業の信頼に直結する」ことがわかる実際の調査データを紹介します。

約7割が個人情報の登録に不安を感じている

ここでは、20〜60代の男女約1,000人を対象に、「個人情報の取り扱いに対する不安意識と企業の信頼判断」に関する調査結果から一部抜粋します。

本調査によると、個人情報を登録する際に不安を感じている人は約7割にのぼることがわかりました。

• とても不安：12.1%
• やや不安：54.5%
• あまり不安はない：30.7%
• まったく不安はない：2.7%

特に不安が大きい情報としては、以下が挙げられています。

• クレジットカード情報：78.3%
• 銀行口座情報：49.5%
• 住所：39.5%
• 顔写真・本人確認書類：32.2%
• 電話番号：25.7%

この結果から、ユーザーは「実害につながる可能性が高い情報」に対して強い警戒心を持っていることがわかります。

情報漏えいが起きると顧客の約2割が即離脱する

さらに、上記と同じ調査によると、個人情報漏えいが発生した場合の行動についても重要な結果が出ています。

約2割の方が「すぐに退会する」と回答しており、企業は一度の事故で顧客を失うリスクがあることが明らかになっています。

また、「企業の対応を見て判断する」と回答した人も多く、事故後の対応や日頃のセキュリティ体制の透明性が信頼維持の鍵になることも示されています。

従業員の9割以上が「情報漏えい対策は必要」と回答

その裏付けとして、約1,000人のIT企業以外の従業員に「会社として情報漏えいに取り組むべきか？」というアンケートした結果、9割以上が「とても思う（62.7%）」「やや思う（32.4%）」と回答しました。

さらに、「とても思う」「やや思う」と回答した方に理由を尋ねたところ、以下のような回答が得られ、多くの人が顧客の個人情報管理の重要性を実感していることがわかりました。

• 会社の信頼失墜の予防のため（71.1%）
• 顧客情報を保護するため（55.3%）
• 法的リスクを回避するため（51.9%）
• サイバー攻撃からの防御のため（34.8%）
• 内部不正ができないようにするため（33.3%）
• 社会的責任の履行のため（32.0%）

経営者の約4割がセキュリティ強化を検討・実施予定

IT企業以外の経営者約1,000人に行った別の調査では、「今後さらに会社としてセキュリティ対策に取り組んで行く予定ですか？」と質問したところ、『強化していく予定（24.4％）』『見直し・改善を検討中（12.6％）』と回答した方が、約4割となりました。

さらに、情報セキュリティ強化の必要性について尋ねると、以下のような結果が得られました。

• 顧客や取引先からの信頼度向上（31.9％）
• 企業価値の維持と向上（30.7％）
• 法的・社会的責任のため（16.1％）
• 事業の継続性の確保（8.9％）
• 職場環境の安全性の確保（5.6％）
• 社員のITリテラシーやセキュリティ意識の向上（3.2％）

このように、[s]多くの人が「個人情報保護」「情報セキュリティの重要性」を実感していることからも、PIMS認証の必要性が感じられるでしょう。

PIMS認証（ISO27701）の取得企業数・取得すべき企業の特徴

ここでは、PIMS認証（ISO27701）の取得企業数や取得すべき企業の特徴を解説します。

PIMS認証（ISO27701）の取得企業数

PIMS認証（ISO27701）の取得企業数は、「情報マネジメントシステム認定センター」のホームページから確認できます。

2025年3月6日現在では、64社がPIMS認証（ISO27701）を取得しています。
その中には、伊藤忠テクノソリューションズ株式会社やオムロンヘルスケア株式会社、株式会社トリドールホールディングス、株式会社日立ソリューションズ、株式会社丸紅ネットワークソリューションズなどの大手企業・有名企業も含まれています。

取得すべき企業の特徴

PIMS認証を取得すべき企業の特徴を以下にまとめました。

• 海外展開を検討しているが、自社の事業活動に関連するプライバシー法の規制に対応した仕組みを構築したい
• 個人情報の管理がうまくできておらず、包括的な管理を実現したい
• 国際的な海外展開において、PIMS認証を自社の強みとしたい
• すでにISO27001を取得しており、さらにリスクマネジメントを積極的に推進したい

またISO27001とPIMS認証の両方を取得できれば、自社の情報セキュリティをより強固なものにできます。そのため、取引先や顧客に安心感・信頼感を与えたい場合にはPIMS認証の取得がおすすめです。

まとめ

この記事では、PIMS認証の概要や取得メリット、ISMS認証・Pマークとの違いについて解説しました。

個人情報取り扱いに関する管理を強固にすることは、国際的に求められている組織の役割です。そのため、PIMS認証の取得は、取引先や消費者に向けて、自社の取り組みをアピールできる機会となるでしょう。

Pマークを取得している企業でも、今後海外展開を目指している企業や世界各国のプライバシー法規制に対応したい企業は、PIMS認証の取得を検討してみてはいかがでしょうか。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。