ISO/IEC 27701(プライバシー情報)

世界水準のプライバシー保護体制を構築するためのマネジメントシステム規格

ISO/IEC 27701は、2019年に発行された国際規格です。同規格は、ISO/IEC 27001およびISO/IEC 27002※1のアドオン(拡張)規格として位置づけられており、 情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが規定されています。

ISO/IEC 27701

ISO/IEC27701プライバシー情報マネジメントシステム/ISO/IEC27001情報セキュリティマネジメントシステム

世界各国で個人情報保護の規制強化が進められているなか、ISO/IEC 27701は、規格にGDPR※2とのマッピングを示す付属書があり、GDPR対応を支援することになります。PII(個人識別可能情報/Personally Identifiable Information)管理者とPII処理者に対する管理策を明確にしているのが特徴です。

  • ※1 情報セキュリティ管理策の実践のための規範。
  • ※2 General Data Protection Regulation(一般データ保護規則)の略。
ISOの基礎知識

プライバシーマーク(Pマーク)やJIS Q 15001との違い

ISO/IEC 27701認証 プライバシーマーク認証 JIS Q 15001認証
準拠規格/法令
  • ISO/IEC 27701
  • 各国のプライバシー保護に関する法規制
  • JIS Q 15001
  • 日本の個人情報保護法と関連法令
  • JIS Q 15001
  • 日本の個人情報保護法と関連法令
保護の対象 PIIの処理によって潜在的に影響を受けるプライバシー 個人情報 個人情報
対象・適用範囲
  • 基本的に任意
  • 適用範囲は ISO/IEC 27001と同じ/または一部
 法人単位
  • 基本的に任意
  • 組合せ審査の場合の適用範囲は、ISO/IEC 27001と同じ/または一部
認証の有効期間 3年更新
(その間1年ごとに定期審査)		 2年更新 3年更新
(その間1年ごとに定期審査)
審査機関 JQA 指定審査機関 JQA
証書 ISMS-AC認定マーク付きJQA認証 JIPDEC認証 JQAプライベート認証
審査 ISO/IEC 27001との組合せ審査 プライバシーマークの単独審査 JIS Q 15001単独審査/または、 ISO/IEC 27001との組合せ審査
備考 JQAでのISO/IEC 27001認証が必要

※JIPDEC:一般財団法人 日本情報経済社会推進協会

適用範囲

  • ISO/IEC 27001の認証取得が前提条件(ISO/IEC 27701の単独認証はない)となります。
  • 適用範囲はISO/IEC 27001と同じまたは一部とします。

対象範囲

業種・業態を問わず、あらゆる組織が利用し、認証を取得することができます。特に、次のようなお客さまにオススメです。

  • GDPRの影響を受ける組織
      (例)
    • EUに子会社、支店、営業所、駐在員事務所を有している
    • 日本からEUにサービス(商品)の提供をしている
    • EUから個人データの処理について委託を受けている(DC、クラウドサービスベンダー)
  • 改正個人情報保護法への対応を先取りし、ISO/IEC 27001と一体化した運用をしようとする組織
      (例)
    • 2022年4月施行の改正個人情報保護法対応を先取りして対応を行う
    • 会社全体でなく特定の組織がプライバシー対応を求められている
    • 情報セキュリティと2本立てでなく、セキュリティとプライバシーの一体化運用を実現したい

関連リンク

ISO/IEC 27001(情報セキュリティ)