ISO/IEC 27701(プライバシー情報)

概要

ISO/IEC 27701

世界水準のプライバシー保護情報を構築するためのマネジメントシステム規格

ISO/IEC 27701は、2019年に発行された国際規格です。同規格は、ISO/IEC 27001およびISO/IEC 27002※1のアドオン(拡張)規格として位置づけられており、情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが規定されています。

ISO/IEC27701プライバシー情報マネジメントシステム/ISO/IEC27001情報セキュリティマネジメントシステム

世界各国で個人情報保護の規制強化が進められているなか、ISO/IEC 27701は、ISO/IEC 27018※2やGDPR※3をカバーしており、PII(個人識別可能情報/Personally Identifiable Information)管理者とPII処理者に対する管理策を明確にしているのが特徴です。

  • ※1 情報セキュリティ管理策の実践のための規範。
  • ※2 PIIプロセッサとしてパブリッククラウド内で個人情報を保護するための実施基準。
  • ※3 General Data Protection Regulation(一般データ保護規則)の略。

JIS Q 15001との違い

個人情報とプライバシー

  • JIS Q 15001の保護の対象が「個人情報」であるのに対し、ISO/IEC 27701の保護の対象は「プライバシー」です。
  • 日本の法規制に対応する規格がJIS Q 15001であり、世界のプライバシー法規制に対応するものがISO/IEC 27701です。

適用範囲

  • ISO/IEC 27001の認証取得が前提条件(ISO/IEC 27701の単独認証はない)となります。
  • 適用範囲はISO/IEC 27001と同じまたは一部とします。

対象範囲

業種・業態を問わず、あらゆる組織が利用し、認証を取得することができます。特に、次のようなお客さまにオススメです。

  • GDPRの影響を受ける組織
      (例)
    • EUに子会社、支店、営業所、駐在員事務所を有している
    • 日本からEUにサービス(商品)の提供をしている
    • EUから個人データの処理について委託を受けている(DC、クラウドサービスベンダー)
  • 改正個人情報保護法への対応を先取りし、ISO/IEC 27001と一体化した運用をしようとする組織
      (例)
    • 2022年4月施行の改正個人情報保護法対応を先取りして対応を行う
    • 会社全体でなく特定の組織がプライバシー対応を求められている
    • 情報セキュリティと2本立てでなく、セキュリティとプライバシーの一体化運用を実現したい

関連リンク

ページの先頭へ