ISMS-PIMS認証(ISO/IEC27701)取得支援ご案内
ISMS-PIMS認証(ISO/IEC27701)とは?
まずは、ISE/IEC27701やISMS-PIMS認証、個人識別可能情報(PII)の解説、ならびにプライバシーマークとの違い等をご説明いたします。
ISO/IEC27701とは?
ISO/IEC27701とは、個人識別可能情報(PII :Personally Identifiable Information)の取り扱いにおけるプライバシーを保護するための要求事項及び手引きです。
具体的には、ISO/IEC27701は「ISO/IEC27001とISO/IEC27002への拡張」という位置づけで、プライバシー情報マネジメントシステム(PIMS:Personal Information Management System)を構築、運用するための要求事項であり、手引きということになります。
PIMS = Personal Information Management System (プライバシー情報を保護するためのマネジメントシステム)
ISMS-PIMS認証とは?
ISO/IEC27001認証が「ISMS認証」と呼ばれているように、ISO/ISO27701認証は「ISMS-PIMS認証」と呼ばれています。ISMS-PIMS認証(ISO/IEC27701)は、ISMS認証(ISO/IEC27001)のアドオン認証です。
アドオン認証とは
アドオン認証とは、ある認証の取得が前提となって取得することができる認証のことです。
ISMS-PIMS認証(ISO/IEC27701)は、ISMS認証(ISO/IEC27001)のアドオン認証という位置づけなので、ISMS認証と同時に登録されるか、ISMS認証が登録されている状況で追加登録される必要があります。
したがって、ISMS認証が失効すると、ISMS-PIMS認証も同時に失効し、ISMS-PIMS認証の有効期間はISMS認証の有効期限に従うことになります。
また、ISMS-PIMS認証は、ISMS認証の登録範囲内でしか登録できないのでご注意ください。
個人識別可能情報(PII)とは?
個人識別可能情報(PII:Personally Identifiable Information)とは、個人を識別することができるもしくは識別することができる可能性がある情報です。日本の個人情報保護法で定義される個人情報よりも広範囲の情報を指すという認識が安全です。
例えば、電話番号や位置情報は日本では個人情報とならない可能性がありますが、ISO27701で言うところのPIIには該当すると考えておいたほうが無難です。IPアドレスのように日本では個人関連情報として認識されているものが、EU域内ではPIIであるという判断がなされているといった違いもあります。
また、日本でいう要配慮個人情報は明示的に列挙されていますが、同様の概念である機微PIIとは例えば健康情報そのものでなくても、健康状態を推測させるような情報であれば機微PIIとして取り扱うことが求められます。
ISMS-PIMS認証とプライバシーマークの違い
ISMS-PIMS認証は、プライバシーマークと比較されることが多々あります。「プライバシーマークからISMS-PIMSに切り替えたほうがよいか」というご質問が多いのですが、答えは一長一短なので目的や状況次第となります。
| ISMS-PIMS認証 | プライバシーマーク | |
|---|---|---|
| 制度開始時期 | 2020年 | 1998年 |
| 認証の位置づけ | 国際認証 | 日本国内のみ |
| 登録組織数 | 少ない | 多い |
| 登録範囲 | 限定可能 | 限定不可能 |
| 審査頻度 | 毎年 | 隔年 |
| コスト(相対的) | 高 ※ISMS認証が前提として必要であるため | 低 |
| その他の特徴 | 個人情報を含む情報全般のリスクマネジメントの証となります。また、GDPRとの関連性も示されているため、その遵守の一助となります。 | 個人情報の保護に特化しています。日本国内おける個人情報の保護に限定するのであれば、コストを含む負荷的に有利です。 |
ここで、GDPRとは「EU一般データ保護規則」(General Data Protection Regulation)の略で、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことです。
ISMS-PIMS認証とプライバシーマークのどちらを取得するべきか?
ISMS-PIMS認証とプライバシーマークのどちらを取得するべきか、上記の表では迷われることでしょう。ケース別に、どちらを取得すべきかを解説いたします。貴社のご事情に合わせて、お選びください。
1.とりあえず何か認証を持っていれば良い場合
人的負荷やコスト的負荷の面では、登録範囲に大きな差が無ければプライバシーマークの方が有利です。
2.グローバルに活動している顧客が存在する場合
グローバルに活動している組織は、GDPR関連の要求を受ける可能性があるので、負荷的に許容できるのであればISMS-PIMS認証のほうが安全かもしれません。
3.既にISMS認証を取得している場合
コスト面ではどちらも似たような負担になる可能性がありますが、ISMS-PIMS認証はISMS認証と統合された審査であるため、別途審査申請をしたり、現地審査を受審したりする必要はありませんので、その分の手間が軽減できます。
4.リスクマネジメントを積極的に推進したい
その対象が個人情報のみなのかどうかによりますが、PIMSの要求の方が細かいので、リスクマネジメントの徹底に適しているかもしれません。
5.登録範囲を限定したい
プライバシーマークは登録範囲が全体になるので、登録範囲を限定したい場合はISMS-PIMS認証の一択です。ただし、ISMSの登録範囲外の登録はできないのでご注意ください。
ISMS-PIMS認証の登録範囲
ISMS-PIMS認証の登録は、プライバシーマークと違い、登録対象を限定することができます。例えば、「PII管理者としての〇〇サービスにおける顧客情報の管理」といった具合に、〇〇サービスにおけるPIIの取扱いに限定することができます。
ただし、該当する顧客情報を取り扱う部門は全て対象にする必要があるので、想定よりも登録範囲が拡がることが多いです。例えば、顧客情報を直接扱うのは営業部ですが、顧客情報を管理する部門が別にある場合は、そちらも登録範囲に含めなければなりません。
| 営業部 | 管理部 |
| 顧客情報を取得し、利用する | 顧客情報にアクセス可能 |
ある部門を登録範囲から外したい場合
ある部門をISMS-PIMS認証の登録範囲から外したい場合があります。例えば、PIIを営業部と管理部で扱うが、総務部では扱わないという場合です。その場合は、「総務部では該当するPIIを取り扱わず、アクセスもできない」ということを示す必要があります。
具体的には、次のような対応が考えられます。
- 物理的に境界を設けて該当するPIIの紙媒体その他可搬媒体に接触させない
- 該当するPIIデータへのアクセス権をもたせない
PII管理者とPII処理者
ISO/IEC27701は、「PII管理者とPII処理者の両者に適用することができる」としています。PII管理者とPII処理者は、次のようなに定義されています。
- PII管理者(Controller):PIIの処理の目的や手段を決定する権限がある者
- PII処理者(Processor):PII管理者に代わり、PIIの指示に従ってPIIを処理する者
PII管理者とPII処理者では立場が異なるために、順守すべき事項も変わるので、ISMS-PIMS認証(ISO/IEC27701)取得を取り組む際には、登録範囲において自組織が管理者なのか、処理者なのか、もしくは両方なのかを特定する必要があります。
ISO/IEC27701の規格構成
ISO/IEC27701の規格構成には、本文と付属書があります。それらの内容を表にすると、次のようになります。これらの中で審査対象となるものは、本文5と付属書AならびにBです。
| 項番 | タイトル | 審査 | |
| 本文 | 序文 | ||
|---|---|---|---|
| 1 | 適用範囲 | ||
| 2 | 引用規格 | ||
| 3 | 用語、定義及び略語 | ||
| 4 | 一般 | ||
| 5 | ISO/IEC27001に関連するPIMS固有の要求 | 対象 | |
| 6 | ISO/IEC27002に関連するPIMS固有の手引 | ||
| 7 | PII管理者のためのISO/IEC27002の追加の手引 | ||
| 8 | PII処理者のためのISO/IEC27002の追加の手引 | ||
| 付属書 | A | (規定)PIMS固有の管理目的及び管理策(PII管理者) | 対象 |
| B | (規定)PIMS固有の管理目的及び管理策(PII処理者) | 対象 | |
| C | (参考)ISO/IEC29100への対応付け | ||
| D | (参考)一般データ保護規則への対応付け | ||
| E | (参考)ISO/IEC27018及びISO/IEC29151への対応付け | ||
| F | (参考)ISO/IEC27701をISO/IEC27001及びISO/IEC27002に適用する方法 | ||
審査対象の本文および附属書の概要
審査対象となる本文および附属書をご説明いたします。審査対象は、本文5、付属書A、付属書Bの3種類あります。
本文5「ISO/IEC27001に関連するPIMS固有の要求」
本文5は、ISO/IEC27001の本文(4~10項)に関連するPIMS固有の要求事項で、審査対象となります。
大きく主旨の異なる要求の追加は無く、情報セキュリティだけでなくプライバシー保護を前提にISO/IEC27001の要求を満たすことを求めています。
例えば、リスクアセスメントにおいては、プライバシー保護のためのリスクの特定や分析が求められます。
附属書A「PIMS固有の管理目的及び管理策(PII管理者)」
付属書Aは、PII管理者が適用を考慮する必要がある管理目的と管理策で、審査対象です。
具体的には、「適用法規制の特定」「PII処理の目的に関する同意の取得」「安全管理」「PI主体の権利を保護するための異議申し立て等の仕組み構築」などがあげられ、これらの手引きが本文7に示されています。
附属書B「PIMS固有の管理目的及び管理策(PII処理者)」
付属書Bは、PII処理者が適用を考慮する必要がある管理目的と管理策で、こちらも審査対象です。
具体的には、「PII処理に関する顧客との契約」「目的の範囲内での処理」「顧客要求の適法性確認」「顧客への情報提供」「安全管理」「法規制の特定」「下請業者の管理」などがあげられ、これらの手引きが本文8に示されています。
ISMS-PIMS認証(ISO/IEC27701)取得までの工程
ISMS-PIMS認証(ISO/IEC27701)取得までの工程は、ISMS認証と同時認証の場合と、すでにISMS認証を取得済みの場合で異なります。
ISO/IEC27001新規認証と同時認証の場合
ISO/IEC27001新規認証と同時にISMS-PIMS認証(ISO/IEC27701)を取得する場合は、基本的にISMS認証の新規取得時の流れと同じです。流れは同じで、各工程のボリュームが増大するとお考えください。
すでにISMS認証を取得済みの場合
すでにISMS認証を取得済みの場合は、ISMS構築の際のリスク分析等の工程をPII保護の観点から見直しつつ、規定の見直しや管理策の実装を進めることになります。
認証取得費用の内訳
ISMS-PIMS認証(ISO/IEC27701)取得の費用には、審査費用の他、現在の環境によっては設備投資が発生したり、弊社のような者をご利用いただいた場合はご支援の対価が必要です。
審査費用
審査費用は、「管理者・処理者の別」「対象事業の内容」「対象組織の規模」「対象サイト数」「審査のタイミング(再認証審査時、定期審査時、臨時審査のいずれか)」等によって変動します。
なお、金額は審査機関によって異なりますので、ご注意ください。
設備投資
ISO/IEC27701の設備投資は、ISO/IEC27001と同じく、具体的な設備投資が要求されているわけではありません。
ただし、法規制を遵守できていない場合には、設備投資が必要となります。また、利用目的に対する同意取得プロセスの構築等で、例えば会員登録の申込書を改定したり、ホームページのリニューアル等が必要となったりするケースはあります。
支援費用(コンサルティングフィー等)
下表の要素を加味して、個別にお見積りしております。
| 1. | 認証取得までの期間 | 極端に短期間、極端に長期間か |
| 2. | 組織規模、事業内容 | 調査にどの程度の時間を要するか、取り扱うPIIの内容、処理内容、取扱量 |
| 3. | ISMS構築内容 | システムの理解、文書の読込にどの程度の時間を要するか ※先にISMS認証を取得している場合です。 |
| 4. | 個人情報保護マネジメントシステム(PIMS)の有無 | 既に個人情報保護マネジメントシステムが存在するか ※プライバシーマークを取得しているケース等です。 |
| 5. | 支援範囲 | どの工程を支援するか |
| 6. | 支援内容 | アドバイス中心なのか、作業支援が必要なのか等支援の深さ |
| 7. | 打ち合わせ形式 | オンラインミーティングが可能か |
当社のコンサルティング費用については、よろしければこちらからお問合せください。
よくあるご質問 Q&A
Q. ISO/IEC27701とは何ですか?
ISO/IEC27701とは、ISO/IEC27001とISO/IEC27002への拡張という位置づけで、プライバシー情報マネジメントシステム(PIMS:Personal Information Management System)を構築、運用するための要求事項であり、手引きです。
Q. ISMS-PIMS認証とは何ですか?
ISO/IEC27001認証が「ISMS認証」と呼ばれているように、ISO/ISO27001認証は「ISMS-PIMS認証」と呼ばれています。ISMS-PIMS認証(ISO/IEC27701)は、ISMS認証(ISO/IEC27001)のアドオン認証です。
Q. ISMS-PIMS認証だけを取得できますか?
ISMS-PIMS認証は、ISMS(ISO/IEC27001)のアドオン認証ですので、ISMS-PIMS認証だけ単体で取得はできません。ISMS認証とISMS-PIMS認証を同時に取得することは可能です。
Q. すでにISMS認証を取得している場合、ISMS-PIMS認証を取得するための期間はどれくらいですか?
取り組み目的、事業内容、適用範囲の組織規模、ISMSの構築内容、運用状況、規格要求の理解度、プライバシーマークの取得有無等によって変動しますが、最短で6ヶ月程度と見込みます。
Q. ISMS-PIMS認証取得コンサルティングの内容はどのようなものになりますか?
「現状調査」「分析」「管理策実装」「文書類整備」「教育」「内部監査」「マネジメントレビュー」「審査対応」等の各工程に対して、ご要望に応じて調整した支援をご提供します。調整とは、ある工程に対して、「助言の提供のみ」「サンプル文書の提供」「作業の補助」「作業の代行」といいった調整を意味します。
Q. コンサルティング費用はどれくらいになりますか?
所要時間、事業内容、組織規模、登録範囲、文書類の整備状況、支援の範囲、支援の程度、支援の形式等によって変動します。具体的な金額は個別にお見積りさせていただいておりますので、よろしければお声がけください。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00