PIMS認証（ISO27701）とは？ISMS認証・Pマークとの違いを解説

PIMS認証は、プライバシー情報マネジメントシステムに関する国際規格
PIMS認証は、ISMS認証のアドオン認証

最近ではIT業だけでなく、個人情報の取り扱いが多い業種において、プライバシー保護の体制を強化することが求められています。

日本で有名な認証規格にはプライバシーマーク（Pマーク）がありますが、国際規格としてはISO27701（PIMS）があります。しかし、あまり馴染みがない企業も多いでしょう。

そこで、この記事ではISMS-PIMS規格の概要やメリット、プライバシーマークとの違いを解説します。

PIMS認証（ISO27701）とは
PIMS認証（ISO27701）における「PII管理者」と「PII処理者」とは
PIMS認証（ISO27701）とISO27001・Pマークとの関係性
- ISO27001との関係性
- Pマークとの関係性
PIMS認証（ISO27701）の取得メリット
PIMS認証（ISO27701）の取得デメリット
- 取得に手間や負担がかかる
- 取得に費用がかかる
PIMS認証（ISO27701）取得の流れ
PIMS認証（ISO27701）の取得企業数・取得すべき企業の特徴
- PIMS認証（ISO27701）の取得企業数
- 取得すべき企業の特徴
まとめ

PIMS認証（ISO27701）とは

ISMS-PIMS認証（ISO27701）とは、プライバシー情報マネジメントシステム（Privacy Information Management System）に関する国際規格です。「PIMS」は「ピムス」と読みます。

組織が保有している個人情報を、情報セキュリティリスクから保護・管理することを目的としています。

関連記事：プライバシーを守る国際規格ISO27701とは？

ISMS-PIMS認証で管理する個人情報とは

PIMS認証で管理する情報は、「PII(Personally Identifiable Information：個人識別可能情報」という生存する特定の個人を識別できる情報」のことを指します。日本で一般的に使う個人情報とほぼ同義です。

PIIにより特定される個人は、「PII主体」と呼ばれています。単独の情報ではPII主体を特定できなくとも、2つ以上の情報によってPII主体が特定できるのであれば、それらの情報はPIIと定義づけられる可能性があります。

例えば、企業内で「営業部門」「女性」「20代」という3つの要素が集まることで、個人を特定できることもあるでしょう。
しかし「20代」という情報だけではPII主体を探し出すことは困難です。単体ではPIIとなりえない情報でも、組み合わせることでPIIとして認識されます。

例えば、以下のような情報がPIMS認証で管理すべき情報です。

氏名
住所
生年月日
メールアドレス
電話番号
クレジットカード番号・口座情報
個人が特定できるくらい鮮明に映っている動画・写真
IPアドレス
契約者・端末固有IDなど

個人情報の詳細は、以下の記事をご覧ください。

関連記事：【具体例あり】個人情報とは？定義や種類、取り扱い方を解説

ISMS-PIMS認証が制定された背景

PIMS認証が制定された背景

ISMS認証（ISO27001）においても、個人情報は保護対象に含まれています。
しかし、個人情報に関する特有の管理については、ISMS認証の要求事項においては不足している部分が指摘され、問題になっていました。個人情報管理における国際的な基準が設けられておらず、組織内における指針が立てにくく、組織によって個人情報保護に関するレベルに大きな差があったのです。

そのため、ISO27001とは別にISO27701にてプライバシー関連情報の保護・管理における国際的な基準が示されました。

また昨今においては情報漏えいによる個人情報の流出・悪用などのニュースが見られる機会も増えています。体感としてもその必要性は感じられるのではないでしょうか。
その裏付けとして、プライバシー関連の約1,000人のIT企業以外の従業員に「会社として情報漏えいに取り組むべきか？」というアンケートした結果、9割以上が「とても思う（62.7%）」「やや思う（32.4%）」と回答しました。

さらに、「とても思う」「やや思う」と回答した方に理由を尋ねたところ、「顧客情報を保護するため（55.3%）」「法的リスクを回避するため（51.9%）」の人が「とても思う」「やや思う」と回答し、多くの人が顧客の個人情報管理の重要性を実感していることがわかったのです。

このように、IT業以外の従業員であっても多くの人が「個人情報保護」「情報セキュリティの重要性」を感じていることからも、PIMS認証が発行された理由が理解できます。

PIMS認証（ISO27701）における「PII管理者」と「PII処理者」とは

PIMS認証を取得する際、組織は自社の役割を「PII管理者」と「PII処理者」のいずれかもしくは両方を登録範囲として選択する必要があります。

そこで、ここではPIMS認証における「PII管理者」と「PII処理者」について解説します。

PII

PII(PersonallyIdentifiableInformation)とは、「個人識別可能情報」のことです。日本における個人情報とほぼ同義と捉えてください。

例えば、企業内で「営業部門」「女性」「20代」という3つの要素が集まることで、個人を特定できることもあるでしょう。しかし「20代」という情報だけではPII主体を探し出すことは困難です。

このように、単体ではPIIとなりえない情報でも、組み合わせることでPIIとして認識されます。

PII管理者

PII管理者とは、「PIIを処理するための目的及び手段を決定するプライバシー利害関係者」のことです。ただし、個人が私的な目的でデータを使う場合は除きます。

例えばECサイトを運営する会社が提供している商品販売サービスについて考えてみましょう。
この場合、会社が個人情報の取り扱いについて定め、サイト上で収集した個人情報を利用して会社の商品発送・料金の請求などの処理を行っています。そのため、この会社の役割はPII管理者（PII処理を行う）です。

PII処理者

PII処理者とは、「PII管理者の代わりに、かつ指示に従ってPIIを処理するプライバシー利害関係者」のことです。

PII処理者の具体例には、個人情報に関する業務を代理で行っている税理士や社労士などが挙げられます。

PIMS認証（ISO27701）とISO27001・Pマークとの関係性

ここでは、PIMS認証と情報セキュリティに関する規格であるISO27001・Pマークとの違いを解説します。

ISO27001との関係性

ISMS認証であるISO27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。PIMS規格と同様にISO規格であり、要求事項を満たすISMSを構築・運用することで取得できます。

両者の違いを以下にまとめました。

認証	認証基準	保護対象
ISMS認証	ISO27001の要求事項に適合	情報セキュリティ全般
ISMS-PIMS規格	ISO27701の要求事項に適合	個人情報

注意点として、PIMS規格はISO27001のアドオン規格として位置づけられています。
そのため、ISMS-PIMS規格を取得するには、ISMS-PIMS規格の取得前もしくは同時にISO27001を取得することが必須です。またPIMS規格の適用範囲は、「ISO27001の取得範囲と同一」もしくは「ISO27001の取得範囲の一部」であることも求められます。

ISO27001の詳細は、以下の記事をご覧ください。

Pマークとの関係性

Pマーク（プライバシーマーク）とは、「日本産業規格（JIS）により定められている個人情報保護マネジメントシステムに関する国内規格」です。

PIMS認証と同様に、個人情報を保護・管理における認証規格であるため、似ている規格のように思えるかもしれません。
ただし、大きく異なる点としてPIMS認証が国際規格である一方、Pマークは日本国内のみで有効な規格であるという点が挙げられます。日本での知名度はPマークの方が高いといえますが、世界各国の企業と取引を行う場合には不十分と判断される可能性があります。

そのため、すでに国際的な取引をしている場合や海外展開を検討している場合には、PIMS認証を取得することがおすすめです。

Pマークの詳細は、以下の記事をご覧ください。

PIMS認証（ISO27701）の取得メリット

それでは、PIMS認証を取得することで、組織にはどのような利点があるのでしょうか。ここでは、PIMS認証の取得メリットを解説します。

世界各国のプライバシー法令への対応が可能になる

世界各国には以下のような個人情報に関する法令が制定されています。

日本：個人情報保護法
EU：GDPR（EU一般データ保護規則）
アメリカ（カリフォルニア州）：CCPA（カリフォルニア州消費者プライバシー法）
中国：中国サイバーセキュリティ法（インターネット安全法）
アジア太平洋経済協力（APEC）：CBPR（越境プライバシールール）

法令は、自社のプライバシー情報マネジメントシステムを構築する際に、遵守すべき基準として把握しておかなければならないものです。
PIMS認証の要求事項には、法令順守に関する項目が策定されています。自社の事業に適用される法令をピックアップして、対応することが求められるのです。
そのため、PIMS認証を取得する過程で、法令に対応した仕組みづくりが実現します。

従業員の個人情報管理への意識が高まる

PIMS認証を取得するためには、ISO27701の要求事項を満たすマネジメントシステムを構築・運用することが必要です。そのために、個人情報管理に対する対策やルール、マニュアルが整備されていきます。

こうした内容に取り組むうちに、従業員の個人情報管理に対する意識も高まりにつながるでしょう。

取引先や消費者からの信頼の醸成

PIMS認証を取得できれば、自社の個人情報管理体制が国際基準を満たしているという証明につながります。そのため、取引先や消費者からの信頼の獲得が期待できるでしょう。また、認証を取得していない競合他社との差別化も期待できます。

特に、ISO27001の取得が、取引を行ううえで必須になっている企業もあります。ISO27001とPIMS認証をあわせて取得することで、自社の個人情報管理に意識の高さをよりアピールできるでしょう。

PIMS認証（ISO27701）の取得デメリット

PIMS認証を取得するメリットを紹介しましたが、デメリットはあるのでしょうか。ここでは、PIMS認証を取得することで発生するデメリットを解説します。

取得に手間や負担がかかる

PIMS認証を取得するには、要求事項に沿ってプライバシー情報マネジメントシステムを構築・運用しなければなりません。その過程で、新しいルールや文書を作成する必要も出てくるでしょう。また、社員には個人情報管理に関する研修・教育を受講することも求められます。

さらに、ISMS認証であるISO27001を取得していない企業であれば、ISO27001の要求事項においても取り組む必要があります。
そのため、自社の負担をできる限り削減し、スムーズな取得を目指すには、プロの信頼できるコンサルティング業者にサポートを依頼することがおすすめです。

取得に費用がかかる

PIMS認証を取得するには、審査機関による審査に通過することが必要です。その際には審査費用がかかります。
審査費用は「組織の役割」、「事業内容」、「対象組織の規模」、「審査機関」などにより変動します。複数の審査機関に見積もりを取って確認すると良いでしょう。

また、要求事項を満たすために新しい設備・システムの導入が必要であれば設備投資にコストがかかる可能性もあるでしょう。例えば、ホームページのリニューアルや顧客情報システムの変更などが必要になる場合もあります。

PIMS認証（ISO27701）取得の流れ

以下に、PIMS認証（ISO27701）を取得する一般的な流れをまとめました。

PIMS認証（ISO27701）取得の準備（社員への周知、ISOコンサルへのサポート依頼、ISO担当者の選任など）を行う
適用範囲を決定する
個人情報（PII）資産を特定する
PII処理における固有のリスクアセスメントの実施
PII処理に関する文書作成
内部監査・マネジメントレビューの実施
認証審査を受ける
認証取得

詳細については、ISOコンサルへのサポート依頼を行う際に確認しましょう。

PIMS認証（ISO27701）の取得企業数・取得すべき企業の特徴

ここでは、PIMS認証（ISO27701）の取得企業数や取得すべき企業の特徴を解説します。

PIMS認証（ISO27701）の取得企業数

PIMS認証（ISO27701）の取得企業数は、「情報マネジメントシステム認定センター」のホームページから確認できます。

2025年3月6日現在では、64社がPIMS認証（ISO27701）を取得しています。
その中には、伊藤忠テクノソリューションズ株式会社やオムロンヘルスケア株式会社、株式会社トリドールホールディングス、株式会社日立ソリューションズ、株式会社丸紅ネットワークソリューションズなどの大手企業・有名企業も含まれています。

参考サイト：「情報マネジメントシステム認定センター」のホームページ（外部リンク）