認証取得に関するコラム
もうすぐ始まるISO27701認証制度(仮)

ISO27701(正式にはISO/IEC27701)は、個人識別可能情報(Personally Identifiable Informationの頭文字をとってPIIと呼ばれています)の取り扱いにおけるプライバシーの保護を目的とした規格であり、乱暴に表現をすればプライバシーマークのISO版です。もちろん、要求事項の詳細は異なりますが、規格の趣旨は同様と言うことができます。

そのISO27001規格は要求事項であり、2020年9月現在では各審査機関のプライベート認証(共通の認定機関が存在していない状態)として運用されているものが、2020年末以降に正式にISMS-ACによる認定スキームに従った制度運用が始まる見込みです。

主な特徴として、

  • ISO27001のアドオン認証なので、既にISO27001認証を取得している、もしくは同時に取得する必要がある。
  • ISO27701の有効期間はISO27001の有効期間となる。
  • ISO27001の登録範囲内しか登録対象にすることができない。

が挙げられます。また、プライバシーマークとの主な違いとして、

  • 審査が毎年発生する
  • 適用範囲の概念がある(必ずしも全事業、全組織を対象にする必要が無い)

が挙げられます。

特に適用範囲の概念があることにより、今まで対象範囲が広範であるためプライバシーマークに取り組むことに二の足を踏んでいた組織には取り組み易い規格ではないかと想像します。

「個人情報保護は、組織全体で取り組まないと意味が無い」という意見もありそうですが、リスクの高い事業や組織を優先的にカバーするという考え方も合理的ではあります。

いずれにせよ、ISO27701はプライバシーマークと比較される可能性が高いので、その際にプライバシーマークとは違い毎年審査が発生することに伴う手間や金銭的負担をどう捉えられるかが、鍵になりそうです。

ただ、毎年審査が発生するとは言え、ISO27001の審査と同時に行われるため、ISO27001とプライバシーマークを両方取得されている組織は、切り替えることで、プライバシーマークの審査申請負荷や改善報告の負荷を考えると負担が減るかもしれません。

ISO27701の追加情報がありましたら、またご報告いたします。ISO27701にご関心がある方は、お気軽にご相談ください。

認証取得お役立ち情報一覧に戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。


帝国データバンクNC

ISO27001
情報を適切に管理・運用し、一定以上のセキュリティレベルに。
プライバシーマーク
個人情報に対して適切な保護措置を講ずる体制を整備。
お問い合わせ・資料請求