近年、デジタル技術の進化により、企業は日々膨大な情報を収集・活用するようになりました。その中でもPII(Personally Identifiable Information:個人識別用情報)は、顧客理解の深化や新たなサービス創出を支える重要な経営資源として、その価値を一段と高めています。しかし、PIIの管理には高度な責任とリスクが伴います。不正利用や漏えいが発生すれば、損害賠償や行政制裁に加え、顧客・取引先からの信頼失墜といった、事業継続に直結する深刻な影響を招きかねません。顧客や社会から選ばれ続ける企業であるためには、PIIを適切に管理する仕組みの構築が不可欠です。
こうした背景から、PIIを適切に管理するための枠組みとして、国際認証規格であるISO 27701(PIMS認証)の取得に注目が集まっています。ISO 27701は、2025年10月に改訂が行われました。
本記事では、ISO 27701の概要や改訂ポイント、新旧版における認証取得の実践ポイントについてわかりやすく解説します。
ISO 27701認証とは?
<ISO 27701認証の概要>
ISO 27701は組織のPIMS(Privacy Information Management System:プライバシー情報マネジメントシステム)に関する国際認証規格です。PIMSは、PIIの取得から利用、保管、提供、更新、利用停止、廃棄に至るまでのライフサイクル全体における管理に特化したマネジメントシステムです。PIMSでは、PIIの取扱いに伴い発生しうるリスクを適切に管理し、定期的な評価・見直しを通じて継続的に改善していくことが求められます。
ISO 27701は、PIMSの枠組みと役割(PII管理者/PII処理者)に応じたベストプラクティスを定めています。ISO 27701認証を取得することで、自組織のPIMSが適切に構築・運用され、PIIの管理が一定の基準を満たしていることを対外的に示すことができます。さらに、PIIの活用が健全化することで、マーケティング精度の向上や新たなイノベーション創出も期待できます。
<プライバシーマークとの違い>
国内の個人情報(≒PII)保護に関する代表的な認証制度として、「JIS Q 15001:個人情報マネジメントシステム―要求事項」に基づく評価・認定制度、いわゆる「プライバシーマーク(Pマーク)」が広く知られています。プライバシーマークは日本産業規格に準拠しているため、認定対象は国内に活動拠点を持つ事業者に限定されます。
一方、ISO 27701認証は国際規格に基づく認証であり、より幅広い国や地域の顧客・取引先に対して、PII管理に関する取り組みの信頼性を示すことができます。組織のグローバル展開を見据えて適切なPII管理への姿勢を対外的に示したい場合、ISO 27701認証の取得は有効な手段と言えます。
ISO 27701:2025の改訂ポイント
ISO 27701は、2019年8月の発行以来、PII管理に関する要求事項を定める規格として活用されてきました。しかし、PII管理の重要性が近年ますます高まっていることを受け、2025年10月に約6年ぶりとなる大幅な改訂が実施されました。
改訂版であるISO 27701:2025では、規格の位置づけや構成が大きく見直され、現代のプライバシー保護ニーズに対応した内容へと刷新されています。
<改訂ポイント①:規格の独立化>
旧版のISO 27701は、ISO 27001=ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の拡張規格として位置づけられており、ISO 27001を取得した組織のみが認証を取得できる仕組みとなっていました。しかし今回の改訂により、ISO 27701単独での取得が可能になりました。この変更の背景には、適切なPII管理が国際的にさらに重要視され、情報セキュリティの一分野としてではなく、より独立性の高い専門的な枠組みとして扱う必要性が高まったことが挙げられます。また、規格の位置づけ変更に伴い、規格名称も改訂されています。
【ISO 27701の新旧規格名】
-
旧規格名
プライバシー情報マネジメントのための ISO 27001 および ISO 27002 への拡張
-
新規格名
情報セキュリティ、サイバーセキュリティ、プライバシー保護 — プライバシー情報管理システム — 要求事項および指針
<改訂ポイント②:構成の共通化>
今回の改訂により、ISO 27701の構成は、ISOマネジメントシステム規格に共通する基本構造である「MSS共通テキスト」に準拠した形へと刷新されました。これにより、品質マネジメントシステム(ISO 9001)、環境マネジメントシステム(ISO 14001)、情報セキュリティマネジメントシステム(ISO 27001)など、ISOが策定する他のマネジメントシステム規格との整合性が大きく向上しています。すでに他のマネジメントシステム規格を取得している組織、あるいは今後取得を予定している組織にとっては、運用体制や文書体系の統一がしやすくなるため、管理プロセス全体の効率化が期待できます。
ISO 27701:2025への移行スケジュール
今回の改訂により、旧版であるISO 27701:2019の認定は 2028年10月31日 をもって失効となります。そのため、すでにISO 27701:2019を取得している組織は、改訂版であるISO 27701:2025への移行が必須となります。改訂版の発行月末から3年間(2025年10月31日から2028年10月31日まで)が旧版からの移行期間として設定されており、この期間中に、認定機関(ISMS-AC)の許可を受けた認証機関による移行審査を受けることで、認証の移行が可能です。
また、旧版の新規認証審査および再認証審査は、2027年5月1日以降は受審できなくなります。移行審査は単独で受審することも、継続審査・再認証審査と併せて受審することも可能です。ISO 27001を含む既存認証の審査サイクルや有効期限等を踏まえ、移行に向けた計画的な準備が求められます。
ISO 27701認証取得の流れ
ISO 27701認証を取得するまでには、主に以下のステップで進められます。
新たにISO 27701を取得するには、まず組織内でPIMSを構築し、運用を開始したうえで、認証機関による所定の審査を受審する必要があります。
認証審査は、主に次の二段階で実施されます。
【認証審査の実施概要】
-
第一段階審査
PIMSの構築状況や文書化の妥当性など、マネジメントシステムが規格に沿って整備されているかを確認します。主にPIMSの推進組織(事務局)が対象となります。
-
第二段階審査
現場部門へのインタビューや実地確認を通じ、PIMSが適切に運用されているかを検証します。
各審査において、規格要求事項への適合が確認されるか、または不適合が発見された場合でも、その是正処置が適切に計画・実施されていると認められれば、ISO 27701認証を取得できます。
ISO 27701認証取得のための実践ポイント
本章では、ISO 27701認証取得のための実践ポイントについて解説します。
<適用範囲の決定>
ISO 27701認証の適用範囲を決定する際は、まず対象となるPIIを正確に特定することが出発点となります。対象となるPIIの属性、すなわち「誰の情報か(顧客、取引先担当者、従業員など)」と「どのような種類の情報か(氏名、メールアドレス、マイナンバー、病歴など)」を明確にすることで、適用すべき法的要求事項が定まります。例えば、日本国内居住者の情報を含む場合には個人情報保護法への準拠が必須となり、EU域内居住者の情報を含む場合には「GDPR(General Data Protection Regulation:一般データ保護規制)」への準拠が必須となり、それぞれPIMSに求められる管理策の水準や内容が異なります。
次に、PIIの取扱い状況の棚卸しを行い、ライフサイクル(利用、保管、提供、更新、利用停止、廃棄)の各段階でどの部門が関与し、どのシステムや媒体が利用されているかを整理します。
こうした情報をもとに、PIMSを適用する範囲(対象とするPII、対象業務、関与部門、利用システムなど)を明確に文書化します。適用範囲が曖昧なまま構築を進めると、必要な管理策に過不足が生じ、審査において不適合につながるおそれがあります。そのため、初期段階でPIIの属性と取扱い状況を詳細に把握し、組織の実態に即した適用範囲を精緻に設定することが、効果的なPIMS構築の鍵となります。
<役割の整理>
ISO 27701では、PIIの取扱いに関して「PII主体」「PII管理者」「PII処理者」という3つの主要な役割が定義されています。それぞれの役割と相互関係は以下の通りです。
ISO 27701では、「PII管理者」と「PII処理者」に対して、それぞれ異なる管理策が求められています。したがって、PIMSを構築・運用する組織は、自組織が「PII管理者」、「PII処理者」のどちらに該当するのか(あるいは両方の役割を担うのか)を明確にする必要があります。
自組織が「PII管理者」と「PII処理者」のどちらに該当するかを判断する際は、まずPIIの取扱い目的と手段を“誰が決定しているのか”を確認します。サービス提供や業務運営において、PIIをどのように利用するかを自ら決定している場合はPII管理者に該当し、委託元からの指示にもとづいてPIIを処理している場合はPII処理者に該当します。
例えば、自社が運営するオンライン学習サービスで受講者情報の利用目的・手段を自ら決定し、教育コンテンツの配信に利用する場合、自社はPII管理者であると同時に、PII処理者にも該当します。一方、受講者情報の利用目的・手段を決定している外部企業から、教育コンテンツの配信業務のみを委託されている場合、自社はPII処理者に該当します。
<文書・帳票類の整備>
ISO 27701では、PIMSを確立するだけでなく、継続的に改善していくことが求められています。そのため、PIMSの担当者が入れ替わっても、誰もが同じ運用を同じ水準で再現できるよう、規程・手順・記録などを体系的に文書化し、必要な要員へ確実に周知することが重要です。また、PIMSの構築段階で必要なフォーマットを整備し、日々の運用の中で記録を適切に取得していくことで、認証審査に必要な文書や帳票を準備できます。
PIMSの構築に必要となる文書・帳票類は、組織が担う役割(PII管理者/PII処理者)によって異なります。そのため、まず自組織の役割を明確にしたうえで、新たに文書を作成すべき部分と既存文書を活用・紐付けできる部分を整理することが重要です。
すでにPIMSを構築・運用している組織については、ISO 27701の改訂版への移行にあたり、文書体系や帳票の大幅な変更が求められるわけではありません。しかし、改訂版では、規格の独立化および構成の共通化に伴い、準拠すべき管理策の掲載箇所や数が変更されている点には注意が必要です。具体的には、ISO 27701の旧版の本文(箇条6〜8)および附属書A・Bに規定されていた管理策が、改訂版では附属書A・Bへ再編されました。特に、旧版の本文(箇条6)で示されていた「ISO 27002に関連する管理策」については、PIMSに関連する部分のみが抜粋・具体化され、改訂版の附属書A・Bに「ISO 27701の管理策」として再整理されています。
まとめ
社会の急速なデジタル化に伴い、適切なPII管理の重要性は今後ますます高まっていきます。こうした状況の中、PIIを適切に管理していることを対外的に示す手段として、ISO 27701認証取得は一層注目されていくことが予想されます。
当社では、ISO 27701取得に関するコンサルティングサービスを提供しています。
新規での認証取得はもちろん、ISO 27701:2019からISO 27701:2025への移行を検討されている場合も、どうぞお気軽にご相談ください。
