PIMS認証（ISO27701）とは？Pマーク・ISMS認証との違いを解説

PIMS認証であるISO27701とは、個人情報保護マネジメントシステムの国際規格です。日本で有名な認証規格には、国内規格であるプライバシーマーク（Ｐマーク）があります。

最近ではIT業だけでなく、個人情報の取り扱いが多い業種において、プライバシー保護の体制を強化することが求められています。

そこで、この記事ではISMS-PIMS規格の概要やメリット、プライバシーマークとの違いを解説します。

PIMS認証（ISO27701）とは？

ISMS-PIMS認証（ISO27701）とは、プライバシー情報マネジメントシステムに関する国際規格です。「PIMS」の正式名称は、「Privacy Information Management System」であり、「ピムス」と読みます。

組織が保有している個人情報を、情報セキュリティリスクから保護・管理するための仕組みを構築・運用します。
具体的には、組織が保有・取り扱う個人情報について「どのような情報セキュリティリスクがあるのかを把握する」「どのように管理するか」「どのように安全性を確保するか」といったルールを体系的に整備し、実際にそのルールに取り組むことを求めています。

なお、ISO27001の拡張規格（アドオン規格）として策定されているため、ISO27001と同時に取得するか、ISO27001を先に取得している必要があります。

最近では、企業が扱う個人情報の量が増え、プライバシー保護に対する社会的要求も高まっているため、PIMS認証を取得する企業は増加傾向にあります。

対象となる個人情報

PIMS認証の対象となる情報は、「PII(Personally Identifiable Information：個人識別可能情報)という生存する特定の個人を識別できる情報」のことです。日本で一般的に使う個人情報とほぼ同義です。

PIIにより特定される個人は、「PII主体」と呼ばれています。
単独の情報ではPII主体を特定できなくとも、2つ以上の情報によってPII主体が特定できるのであれば、それらの情報はPIIと定義づけられる可能性があります。

例えば、以下のような情報がPIMS認証で管理すべき情報です。

• 氏名
• 住所
• 生年月日
• メールアドレス
• 電話番号
• クレジットカード番号・口座情報
• 個人が特定できるくらい鮮明に映っている動画・写真
• IPアドレス
• 契約者・端末固有IDなど

個人情報の詳細は、以下の記事をご覧ください。

対象となる「組織の役割」とは？

対象となる「組織の役割」とは、個人情報を扱う目的や方法を決めるPII管理者か、管理者の指示に従って個人情報を処理するPII処理者のいずれか、または両方の立場のことです。

そこで、ここではPIMS認証における「PII管理者」と「PII処理者」について解説します。

PII管理者

PIIを処理するための目的及び手段を決定するプライバシー利害関係者のことです。ただし、個人が私的な目的でデータを使う場合は除きます。

PII処理者

PII管理者の代わりに、かつ指示に従ってPIIを処理するプライバシー利害関係者のことです。

以下に、PIIやPII管理者、PII処理者の違いをまとめましたので、参考にしてください。

PIMS認証（ISO27701）とISO27001・Pマークとの関係性

ここでは、PIMS認証と情報セキュリティに関する規格であるISO27001・Pマークとの違いを解説します。

ISO27001との関係性

ISMS認証であるISO27001は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。PIMS規格と同様にISO規格であり、要求事項を満たすISMSを構築・運用することで取得できます。

両者の違いを以下にまとめました。

注意点として、PIMS規格はISO27001のアドオン規格として位置づけられています。
そのため、ISMS-PIMS規格を取得するには、ISMS-PIMS規格の取得前もしくは同時にISO27001を取得することが必須です。またPIMS規格の適用範囲は、「ISO27001の取得範囲と同一」もしくは「ISO27001の取得範囲の一部」であることも求められます。

ISO27001の詳細は、以下の記事をご覧ください。

Pマークとの関係性

PIMS認証とPマークとの関係性は、PIMS認証が国際規格であるのに対し、Pマークは国内規格であり、どちらも個人情報保護を目的としながら「適用範囲」と「信頼される場面」が異なる点です。

Pマーク（プライバシーマーク）とは、「日本産業規格（JIS）により定められている個人情報保護マネジメントシステムに関する国内規格」です。
個人情報の保護・管理に関する認証という点では、PIMS認証と似ているように見えるかもしれません。

しかし、大きな違いは、PIMS認証が国際規格であるのに対し、Pマークは日本国内でのみ有効な規格であることです。日本での知名度はPマークの方が高いものの、世界各国の企業と取引を行う場合には「管理体制の証明には不十分」と判断される可能性があります。

そのため、すでに国際的な取引をしている場合や海外展開を検討している場合には、PIMS認証を取得することがおすすめです。

Pマークの詳細は、以下の記事をご覧ください。

PIMS認証（ISO27701）の取得メリット

PIMS認証（ISO27701）の取得メリットは、企業や組織の運営において有利に働く場面が多くなる点です。ここでは、PIMS認証の取得メリットについて、取得後に見込まれる具体的な効果とともに解説します。

世界各国のプライバシー法令への対応が可能になる

世界各国には以下のような個人情報に関する法令が制定されています。

• 日本：個人情報保護法
• EU：GDPR（EU一般データ保護規則）
• アメリカ（カリフォルニア州）：CCPA（カリフォルニア州消費者プライバシー法）
• 中国：中国サイバーセキュリティ法（インターネット安全法）
• アジア太平洋経済協力（APEC）：CBPR（越境プライバシールール）

法令は、自社のプライバシー情報マネジメントシステムを構築する際に、遵守すべき基準として把握しておかなければならないものです。
PIMS認証の要求事項には、法令順守に関する項目が策定されています。自社の事業に適用される法令をピックアップして、対応することが求められるのです。
そのため、PIMS認証を取得する過程で、法令に対応した仕組みづくりが実現します。

従業員の個人情報管理への意識が高まる

PIMS認証を取得するためには、ISO27701の要求事項を満たすマネジメントシステムを構築・運用することが必要です。そのために、個人情報管理に対する対策やルール、マニュアルが整備されていきます。

こうした内容に取り組むうちに、従業員の個人情報管理に対する意識の向上につながるでしょう。

取引先や消費者からの信頼の醸成

PIMS認証を取得できれば、自社の個人情報管理体制が国際基準を満たしているという証明につながります。そのため、取引先や消費者からの信頼の獲得が期待できるでしょう。また、認証を取得していない競合他社との差別化も期待できます。

特に、ISO27001の取得が、取引を行ううえで必須になっている企業もあります。ISO27001とPIMS認証をあわせて取得することで、自社の個人情報管理に意識の高さをよりアピールできるでしょう。

PIMS認証（ISO27701）の取得デメリット

PIMS認証を取得するメリットを紹介しましたが、デメリットはあるのでしょうか。ここでは、PIMS認証を取得することで発生するデメリットを解説します。

取得に手間や負担がかかる

PIMS認証を取得するには、要求事項に沿ってプライバシー情報マネジメントシステムを構築・運用しなければなりません。その過程で、新しいルールや文書を作成する必要も出てくるでしょう。また、社員には個人情報管理に関する研修・教育を受講することも求められます。

さらに、ISMS認証であるISO27001を取得していない企業であれば、ISO27001の要求事項においても取り組む必要があります。
そのため、自社の負担をできる限り削減し、スムーズな取得を目指すには、プロの信頼できるコンサルティング業者にサポートを依頼することがおすすめです。

取得に費用がかかる

PIMS認証を取得するには、審査機関による審査に通過することが必要です。その際には審査費用がかかります。
審査費用は「組織の役割」、「事業内容」、「対象組織の規模」、「審査機関」などにより変動します。複数の審査機関に見積もりを取って確認すると良いでしょう。

また、要求事項を満たすために新しい設備・システムの導入が必要であれば設備投資にコストがかかる可能性もあるでしょう。例えば、ホームページのリニューアルや顧客情報システムの変更などが必要になる場合もあります。

PIMS認証（ISO27701）取得の流れ

以下に、PIMS認証（ISO27701）を取得する一般的な流れをまとめました。

1. PIMS認証（ISO27701）取得の準備（社員への周知、ISOコンサルへのサポート依頼、ISO担当者の選任など）を行う
2. 適用範囲を決定する
3. 個人情報（PII）資産を特定する
4. PII処理における固有のリスクアセスメントの実施
5. PII処理に関する文書作成
6. 内部監査・マネジメントレビューの実施
7. 認証審査を受ける
8. 認証取得

詳細については、ISOコンサルへのサポート依頼を行う際に確認しましょう。

【調査】今、PIMS認証（ISO27701）を取得すべき？

PIMS認証（ISO27701）は、国際的に通用する個人情報保護体制の証明として取得すべきです。

昨今、情報漏えいによる個人情報の流出・悪用などのニュースが見られる機会も増えています。体感としても、PIMS認証の必要性は感じられるのではないでしょうか。

その裏付けとして、約1,000人のIT企業以外の従業員に「会社として情報漏えいに取り組むべきか？」というアンケートした結果、9割以上が「とても思う（62.7%）」「やや思う（32.4%）」と回答しました。

さらに、「とても思う」「やや思う」と回答した方に理由を尋ねたところ、以下のような回答が得られ、多くの人が顧客の個人情報管理の重要性を実感していることがわかりました。

• 会社の信頼失墜の予防のため（71.1%）
• 顧客情報を保護するため（55.3%）
• 法的リスクを回避するため（51.9%）
• サイバー攻撃からの防御のため（34.8%）
• 内部不正ができないようにするため（33.3%）
• 社会的責任の履行のため（32.0%）

また、IT企業以外の経営者約1,000人に行った別の調査では、「今後さらに会社としてセキュリティ対策に取り組んで行く予定ですか？」と質問したところ、『強化していく予定（24.4％）』『見直し・改善を検討中（12.6％）』と回答した方が、約4割となりました。

さらに、情報セキュリティ強化の必要性について尋ねると、以下のような結果が得られました。

• 顧客や取引先からの信頼度向上（31.9％）
• 企業価値の維持と向上（30.7％）
• 法的・社会的責任のため（16.1％）
• 事業の継続性の確保（8.9％）
• 職場環境の安全性の確保（5.6％）
• 社員のITリテラシーやセキュリティ意識の向上（3.2％）

このように、多くの人が「個人情報保護」「情報セキュリティの重要性」を実感していることからも、PIMS認証の必要性が感じられるでしょう。

PIMS認証（ISO27701）の取得企業数・取得すべき企業の特徴

ここでは、PIMS認証（ISO27701）の取得企業数や取得すべき企業の特徴を解説します。

PIMS認証（ISO27701）の取得企業数

PIMS認証（ISO27701）の取得企業数は、「情報マネジメントシステム認定センター」のホームページから確認できます。

2025年3月6日現在では、64社がPIMS認証（ISO27701）を取得しています。
その中には、伊藤忠テクノソリューションズ株式会社やオムロンヘルスケア株式会社、株式会社トリドールホールディングス、株式会社日立ソリューションズ、株式会社丸紅ネットワークソリューションズなどの大手企業・有名企業も含まれています。

取得すべき企業の特徴

PIMS認証を取得すべき企業の特徴を以下にまとめました。

• 海外展開を検討しているが、自社の事業活動に関連するプライバシー法の規制に対応した仕組みを構築したい
• 個人情報の管理がうまくできておらず、包括的な管理を実現したい
• 国際的な海外展開において、PIMS認証を自社の強みとしたい
• すでにISO27001を取得しており、さらにリスクマネジメントを積極的に推進したい

またISO27001とPIMS認証の両方を取得できれば、自社の情報セキュリティをより強固なものにできます。そのため、取引先や顧客に安心感・信頼感を与えたい場合にはPIMS認証の取得がおすすめです。

まとめ

この記事では、PIMS認証の概要や取得メリット、ISMS認証・Pマークとの違いについて解説しました。

個人情報取り扱いに関する管理を強固にすることは、国際的に求められている組織の役割です。そのため、PIMS認証の取得は、取引先や消費者に向けて、自社の取り組みをアピールできる機会となるでしょう。

Pマークを取得している企業でも、今後海外展開を目指している企業や世界各国のプライバシー法規制に対応したい企業は、PIMS認証の取得を検討してみはいかがでしょうか。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。