ISO27701ISO27701認証取得

ISO27701認証(プライバシー情報マネジメントシステム)とは？

ISO27701は、現行のISO27001のアドオン規格です。このアドオン規格は既存のISO27001規格では扱われていないプライバシー情報管理に特化しています。

これには、個人情報を取り扱う事業者に対して、情報を適切に取り扱うための要求事項や実施手順などが明記されています。

欧州においては2016年にGDPRが導入され、その結果2018年にはデータ保護法が更新されました。罰則が大幅に強化されたため組織はプライバシーが管理され合法的に尊重されるように適切な管理を行う必要性が高まっています。そのためグローバル展開をしているもしくは検討している企業様にとっては非常に有益な認証資格であると認識しております。

ISO27701の位置付け

ISO27701:2019は、ISO27001のプライバシーアドオン規格であり、27001情報セキュリティマネジメントシステム（ISMS）にプライバシー情報管理を追加し、情報セキュリティ＆プライバシーマネジメントシステム（ISPMS）を実現します。

ISO27701認証取得における弊社の強み

グローバル標準の規格(ISO27701、GDPR、CCPA、各国のセキュリティ標準)に精通したコンサルタントが担当します。そのため、グローバル各国で要求されている規格・標準の違いと調和が取れた情報セキュリティとプライバシーの仕組みの構築が実現できます。

ISO27701とISO27001の連携によるプライバシーリスクへの対応

ISO27001のみでは個人情報の管理を完全に管理・保護することは難しいとされています。この課題に対応するために、ISO27701では、プライバシー特有のリスクを管理するために必要な管理策を確実に実施するために、14の附属書Aドメインのうち13のドメインに対する管理策の更新と追加のガイダンスを提供しております。

当社のISO27001および27701のコンサルティングサービスは以下の通りです。

1. プライバシー情報管理システム（PIMS）戦略／フレームワークの選択

お客様の業界、規制遵守、認証要件に基づいて、PIMS開発の理想的なアプローチを定義します。

2. 対象範囲の決定

対象範囲の決定は、ISO27701導入を成功させるための基盤となる「データマッピング」という重要なタスクの鍵となります。スコープは、主要なステークホルダー（顧客、株主など）のニーズを満たすのに十分な広さが必要ですが、初期の取り組みを管理しやすいように十分に狭くする必要があります。

3. リスクアセスメント/データプライバシー影響評価

リスクアセスメント/マネジメントは、すべてのISPMSの基礎となるものです。ISO27701は、リスクアセスメントの手法を拡張して、情報セキュリティとプライバシーの両方のリスクマネジメントに使用できるようにします。

4. PIMS ギャップ/コントロール成熟度評価

現状のプライバシー保護体制とISO27701のあるべきプライバシー保護体制とのギャップを評価することは、リスク処理計画の策定とギャップに対する是正計画に重要な活動になる。

5. リスク処理計画の策定

リスク処理計画は、組織のマネジメントチームが許容できるレベルまでプライバシーリスクを軽減するために、ISPMSに必要な管理策（必要な範囲とその実現難易度含む）を指定します。

6. ギャップ是正の促進/サポート

リスク処理計画を実行しISO27701の特定されたギャップを解消することでPDCAサイクルを一通り運用フェーズ回すこととします。

7. プライバシーメトリクス

メトリクスは、継続的な改善（ISO27001認証の主要な方針）を実証するために不可欠であるため、堅牢なISPMSの実装の中心となります。このサービスは、ISPMSの有効性を測定、報告し、体系的に改善するプロセスを簡素化することに重点を置いています。

8. プライバシーポリシー・標準・手順の改訂

ISO27701の認証取得支援においてこのステップはコアになります。これを対応するための重要なポイントは、文書構成、作成者、バージョン管理などです。文書の作成者が、目の前の特定の問題に関連するすべての情報を簡単に見つけられない場合、不適合が発生する可能性が高くなります。

9. ISO27701内部監査

ISO27701の内部監査は、社内のプライバシー管理方法、プロセス、および手順が要求事項に適合しているかどうか、効果的に実施および維持されているかどうか、そして期待通りに機能しているかどうかを確立するための内部監査を実施します。

10. 認証審査の前後対応

審査のQ＆A対応やロールプレイを実施することで、不適合のリスクを低減します。

11. ISO27701継続的な運用支援

セキュリティ＆リスクマネジメントに知識豊富なコンサルタントを参加させることは、リスク・マネジメント機能の継続的な有効性にとって重要であり、それは ISMS および PIMS の継続的な有効性にとっても重要です。多くのお客様は、組織や業界に関する幅広い専門知識を持つ、独立した客観的な第三者メンバーをリスクマネジメント委員会に含めることでメリットを得ています。

メイソンのISO27701コンサルティングサービス

1. ISO27701アドオン認証取得支援サービス

ISO27001認証済みのお客様向けのサービスです。現状のISO27001の運用を評価差分し、差分対応をすることで認証取得のお手伝いをします。

サービス料金
48万円〜

2. PマークからのISO27701移行支援サービス

PマークからISO27017に移行する支援サービスです。PマークとISO27701の差分を評価しながら、最少の支援工数で移行することの支援を実施します。

サービス料金
78万円〜

ISO27701に関するよくある質問

ISO27701とは何ですか？

ISO27701は、組織がデータを安全に保つための国際規格であるISO 27000ファミリー規格の一部であり、プライバシー情報マネジメントシステム（PIMS）のための「ベストプラクティス」を規定しています。これらのプラクティスには、組織がプライバシー関連のリスクを効果的に管理するために活用できるポリシー、手順、技術的コントロールが含まれます。

私の会社でも ISO27701 認証を取得できますか？

はい、ISO27701は、ISO27001を拡張したものであり、認証を受けることができます。

ISO27701のプライバシー情報マネジメントシステム（PIMS）とは何ですか？

PIMSとは、個人情報を保護するための体系的かつリスクベースのアプローチであり、個人情報保護法やガイドラインに沿って個人情報を管理することができます。

ISO27701リスクアセスメントとは何ですか？

ISO27701リスクアセスメントは、基本的にデータプライバシー影響度分析であり、CCPAやGDPRなどの規制の要件となっています。

ISO27701認証取得を推奨する企業とはどんな企業になりますか？

以下のようなお客様にISO27701認証取得することを推奨しております。

• グローバル展開をしているものの、各国の個人情報保護の法規制については個別対応しているため、全社標準を定めることができていない。
• グローバル各国の個人情報保護やサイバーセキュリティ法規制が多すぎるため、全社で把握をしてガバナンスを効かせることが困難である。
• ISO27001&Pマークダブル認証を取得済みであるものの、運用に手間がかかっているため簡略化したい。

ISO27701認証取得することの意義

日本において、ISO27001は情報資産全般を保護するための認証資格として6,000近い企業が取得しております。

一方、ISO27701とは個人情報と個人情報に関わるプライバシーまでを適切に保護するための仕組みを構築するための仕組みを認証する資格です。

ISO27701は、ISO27001のアドオン規格として位置付けられています。これはISO27017、ISO27018と同様な位置付けであるものの、ISO27701は個人情報を取り扱う企業にとって、個人情報を適切に扱うためにしなければいけないことが明文化されております。

ISO27701とPマークの違いを「特長」、「対象範囲」、「弊社認識」の観点で比較をすると下記の通りになります。

	ISMS/ISO27701	Pマーク
特長	グローバル各国の個人情報保護レギュレーション(GDPR等)を考慮している。	日本の個人情報保護法をベースにしている。
対象範囲	個人情報を取り扱っている部署に限定をして認証取得できる。	全ての部署で認証される必要がある。
弊社認識	グローバルスタンダードの個人情報保護認証取得ができる。ISO27001との親和性が高いため、審査の準備工数を大幅に削減できる（Pマークから変更した場合）	日本国内では認知度の高い認証資格ISO27001とダブル認証している場合、審査準備の工数が高い。また、審査時期が異なる場合、認証取得を維持するために多くの作業工数を投入する必要がある。