もうすぐ始まるISO27701認証制度（仮）

ISO27701認証制度（仮）とは？

ISO27701（正式にはISO/IEC27701）は、個人識別可能情報（Personally Identifiable Informationの頭文字をとってPIIと呼ばれています）の取り扱いにおけるプライバシーの保護を目的とした規格であり、乱暴に表現をすればプライバシーマークのISO版です。もちろん、要求事項の詳細は異なりますが、規格の趣旨は同様と言うことができます。

そのISO27001規格は要求事項であり、2020年9月現在では各審査機関のプライベート認証（共通の認定機関が存在していない状態）として運用されているものが、2020年末以降に正式にISMS-ACによる認定スキームに従った制度運用が始まる見込みです。

ISO27701の主な特徴

主な特徴として、

• ISO27001のアドオン認証なので、既にISO27001を取得している、もしくは同時に取得する必要がある。
• ISO27701の有効期間はISO27001の有効期間となる。
• ISO27001の登録範囲内しか登録対象にすることができない。

が挙げられます。

ISO27701とプライバシーマークの違い

ISO27701とプライバシーマークの主な違いとして、

• 審査が毎年発生する
• 適用範囲の概念がある（必ずしも全事業、全組織を対象にする必要は無いが、PIIにアクセスすることができる組織は全て対象とする必要がある）

が挙げられます。

いずれにせよ、ISO27701はプライバシーマークと比較される可能性が高いので、その際にプライバシーマークとは違い毎年審査が発生することに伴う手間や金銭的負担をどう捉えられるかが、鍵になりそうです。

ただ、毎年審査が発生するとは言え、ISO27001の審査と同時に行われるため、ISO27001とプライバシーマークを両方取得されている組織は、切り替えることで、プライバシーマークの審査申請負荷や改善報告の負荷を考えると負担が減るかもしれません。