ISO/IEC 27701(プライバシー情報)
- 概要
- よくあるご質問
概要
世界水準のプライバシー保護体制を構築するためのマネジメントシステム規格
ISO/IEC 27701は、2019年に発行された国際規格です。同規格は、ISO/IEC 27001およびISO/IEC 27002※1のアドオン(拡張)規格として位置づけられており、情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが規定されています。
世界各国で個人情報保護の規制強化が進められているなか、ISO/IEC 27701は、ISO/IEC 27018※2やGDPR※3をカバーしており、PII(個人識別可能情報/Personally Identifiable Information)管理者とPII処理者に対する管理策を明確にしているのが特徴です。
- ※1 情報セキュリティ管理策の実践のための規範。
- ※2 PIIプロセッサとしてパブリッククラウド内で個人情報を保護するための実施基準。
- ※3 General Data Protection Regulation(一般データ保護規則)の略。
プライバシーマーク(Pマーク)やJIS Q 15001との違い
| Pマーク | JIS Q 15001 | ISO/IEC 27701 | |
|---|---|---|---|
| 準拠規格/法令 |
|
|
|
| 保護の対象 | 個人情報 | 個人情報 | PIIの処理によって潜在的に影響を受けるプライバシー |
| 対象・適用範囲 | 法人単位 |
|
|
| 認証の有効期間 | 2年更新 | 3年更新 (その間1年ごとに定期審査) |
3年更新 (その間1年ごとに定期審査) |
| 審査機関 | 指定審査機関 | JQA | JQA |
| 証書 | JIPDEC※発行のプライバシーマーク登録証 | JQA発行のJIS Q 15001登録証 | JQA発行のISO/IEC 27701登録証 |
| 審査 | プライバシーマークの単独審査 | JIS Q 15001単独審査/または、ISO/IEC 27001との組合せ審査 | ISO/IEC 27001との同時審査 |
※JIPDEC:一般財団法人 日本情報経済社会推進協会
適用範囲
- ISO/IEC 27001の認証取得が前提条件(ISO/IEC 27701の単独認証はない)となります。
- 適用範囲はISO/IEC 27001と同じまたは一部とします。
対象範囲
業種・業態を問わず、あらゆる組織が利用し、認証を取得することができます。特に、次のようなお客さまにオススメです。
- GDPRの影響を受ける組織
- (例)
- EUに子会社、支店、営業所、駐在員事務所を有している
- 日本からEUにサービス(商品)の提供をしている
- EUから個人データの処理について委託を受けている(DC、クラウドサービスベンダー)
- 改正個人情報保護法への対応を先取りし、ISO/IEC 27001と一体化した運用をしようとする組織
- (例)
- 2022年4月施行の改正個人情報保護法対応を先取りして対応を行う
- 会社全体でなく特定の組織がプライバシー対応を求められている
- 情報セキュリティと2本立てでなく、セキュリティとプライバシーの一体化運用を実現したい
- 概要
- よくあるご質問
