ISO/IEC 27701(プライバシー情報)

概要

ISO/IEC 27701

世界水準のプライバシー保護体制を構築するためのマネジメントシステム規格

ISO/IEC 27701は、2019年に発行された国際規格です。同規格は、ISO/IEC 27001およびISO/IEC 27002※1のアドオン(拡張)規格として位置づけられており、情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが規定されています。

ISO/IEC27701プライバシー情報マネジメントシステム/ISO/IEC27001情報セキュリティマネジメントシステム

世界各国で個人情報保護の規制強化が進められているなか、ISO/IEC 27701は、ISO/IEC 27018※2やGDPR※3をカバーしており、PII(個人識別可能情報/Personally Identifiable Information)管理者とPII処理者に対する管理策を明確にしているのが特徴です。

  • ※1 情報セキュリティ管理策の実践のための規範。
  • ※2 PIIプロセッサとしてパブリッククラウド内で個人情報を保護するための実施基準。
  • ※3 General Data Protection Regulation(一般データ保護規則)の略。

プライバシーマーク(Pマーク)やJIS Q 15001との違い

Pマーク JIS Q 15001 ISO/IEC 27701
準拠規格/法令
  • JIS Q 15001
  • 日本の個人情報保護法と関連法令
  • JIS Q 15001
  • 日本の個人情報保護法と関連法令
  • ISO/IEC 27701
  • 各国のプライバシー保護に関する法規制
保護の対象 個人情報 個人情報 PIIの処理によって潜在的に影響を受けるプライバシー
対象・適用範囲 法人単位
  • 基本的に任意
  • 組合せ審査の場合の適用範囲は、ISO/IEC 27001と同じ/または一部
  • 基本的に任意
  • 適用範囲は ISO/IEC 27001と同じ/または一部
認証の有効期間 2年更新 3年更新
(その間1年ごとに定期審査)
3年更新
(その間1年ごとに定期審査)
審査機関 指定審査機関 JQA JQA
証書 JIPDEC発行のプライバシーマーク登録証 JQA発行のJIS Q 15001登録証 JQA発行のISO/IEC 27701登録証
審査 プライバシーマークの単独審査 JIS Q 15001単独審査/または、ISO/IEC 27001との組合せ審査 ISO/IEC 27001との同時審査

※JIPDEC:一般財団法人 日本情報経済社会推進協会

適用範囲

  • ISO/IEC 27001の認証取得が前提条件(ISO/IEC 27701の単独認証はない)となります。
  • 適用範囲はISO/IEC 27001と同じまたは一部とします。

対象範囲

業種・業態を問わず、あらゆる組織が利用し、認証を取得することができます。特に、次のようなお客さまにオススメです。

  • GDPRの影響を受ける組織
      (例)
    • EUに子会社、支店、営業所、駐在員事務所を有している
    • 日本からEUにサービス(商品)の提供をしている
    • EUから個人データの処理について委託を受けている(DC、クラウドサービスベンダー)
  • 改正個人情報保護法への対応を先取りし、ISO/IEC 27001と一体化した運用をしようとする組織
      (例)
    • 2022年4月施行の改正個人情報保護法対応を先取りして対応を行う
    • 会社全体でなく特定の組織がプライバシー対応を求められている
    • 情報セキュリティと2本立てでなく、セキュリティとプライバシーの一体化運用を実現したい

関連リンク

ページの先頭へ