ISO 27701（ISMS-PIMS認証）とは？メリットやPマークとの違い、改訂などについて解説

プライバシー情報の適切な管理および保護に焦点を当てたISMSのアドオン認証、「ISO 27701（ISMS-PIMS）認証」。本記事では、ISO 27701とはどのような認証で、認証取得によるメリットは何なのか、またどんな企業に向いているのか等について、ISO27001（ISMS）認証との関係性やプライバシーマークとの違い、今後の規格改訂などにも触れながら解説します。

ISO 27701（ISMS-PIMS認証）とは？概要を簡単に

ISO 27701とは、ISO 27001（ISMS）に基づいたデータプライバシー管理体制「PIMS（プライバシー*情報管理システム）」を構築するための国際規格です。PIMSとは、EUのGDPRをはじめとする各国のデータ保護法や基準に沿った形で責任を持って個人識別情報（PII、詳しくは後述）を管理するための体系的なフレームワークのことを指します。もう少し砕けた表現をすると、PIMSとは法律や規制で求められる要件を満たしながら個人情報を適切かつ安全に管理するための仕組みとも言えます。

*ここでの「プライバシー」とは、個人や家庭内の私生活や個人の秘密のほか、それらが他人から干渉・侵害を受けない権利のことを意味しています。

ISO 27701は、ISO 27001に基づくISMS認証を前提に認証化されており、この認証を日本国内では「ISMS-PIMS認証（アイエスエムエス・ピムス認証）」と呼んでいます。

では、ISO 27701（ISMS-PIMS認証）について、前提となるISMS（ISO 27001）認証にも触れながらもう少し詳しくみていきましょう。

そもそもISMS認証とは？

まず、そもそもISMS認証とは、国際規格であるISO 27001に沿ってISMS（情報セキュリティマネジメントシステム）を構築・運用・維持し、第三者機関の審査で同規格の定める要求事項に適合していることが認められると取得できるセキュリティ認証です。ISMSは情報セキュリティの3要素とも呼ばれる「情報の機密性、完全性、可用性」を守るための体系的な仕組みであり、組織はITに関わる技術的な対策を講じたり、従業員への教育・訓練を実施したり、組織体制を整備したりすることによってISMSを構築していきます。

ISMSのアドオン認証

このISMSには、「アドオン（拡張）認証」と呼ばれるものがあります。これは、ISMS（ISO 27001）認証の取得を前提として、特定の分野固有の規格を満たしている組織を認証する仕組みです。アドオン認証取得のためには、ISO 27001の要件に加え、各アドオン規格によって別途定められている要件を満たすことが必要になります。

＜アドオン認証の例＞

• ISO 27017：クラウドサービスに関する情報セキュリティ管理策のガイドライン規格。国内では「ISMSクラウドセキュリティ認証」として認証制度化されている。
• ISO 27701：プライバシーの保護および個人識別情報（PII、詳しくは後述）の管理に特化した規格。国内では「ISMS-PIMS認証」として認証制度化されている。

※ISMSについてさらに詳しくは、こちらの記事をご覧ください：ISMSとは：なぜ必要？ISO 27001との違いや認証取得すべきケースについて解説

ISMS-PIMS認証とは？

上記の通り、ISMS-PIMS認証もISMSのアドオン認証の1つです。この認証は、ISMS（ISO 27001）認証の取得を前提にISO 27701に従ったPIMS（プライバシー情報管理システム）を構築・運用・維持し、審査で規格への準拠が認められると取得することができます。つまり、ISMSを取得済み、もしくはこれから取得する企業しかISMS-PIMS認証を取得できません。

※ただ、次回の規格改訂でISO 27701単独でも（ISO 27001の認証を取得していなくても）認証を取得できるようになることが明らかになっています（改訂については後述）。

先ほどのISMSが情報セキュリティのマネジメントを目的としているのに対し、PIMSはプライバシー情報のマネジメントを目的とするものです。

＜ISMSアドオン認証と各規格（認証基準）の整理＞

規格書「ISO 27701」：PIMSの認証基準

前述の通り、ISO 27701は、ISO 27001に基づいたデータプライバシー管理体制（PIMS）を構築するためのフレームワークです。ISMS認証の規格であるISO 27001を拡張したものであり、またISO 27002やISO 29100にも基づいた内容となっています。なお、ISO 27002とは情報セキュリティ管理策を規定する国際規格で、ISO 29100とはプライバシー・フレームワークに関する国際規格です。

加えて、ISO 27701は、GDPRやNIS2、HIPAA、およびその他のデータ保護／プライバシー規制や法律へ準拠するために整備すべきポリシーや手順に関するガイドの役割を果たすものでもあります。

※GDPR：ヨーロッパの個人情報保護法である「一般データ保護規則」で、世界で最も厳格な個人情報保護法だと考えられている。詳しくはこちらの記事で：GDPRとは？概要や日本企業が知っておくべき4つのポイント

　NIS2：ヨーロッパの「高度な共通水準のサイバーセキュリティ指令」

　HIPAA：米国の「医療保険の相互運用性と説明責任に関する法律」

個人情報とPII

ISO 27701の対象となるのは、「PII（Personally Identifiable Information）」と呼ばれるものです。日本語には「個人識別可能情報」などと訳されている通り、単独で、またはほかの情報と組み合わせることである個人の身元を識別できる情報のことを言います。

＜単独でPIIとなる情報の例＞

• フルネーム
• パスポート番号や運転免許証番号、銀行口座番号、クレジットカード番号など個人を識別できる番号
• 自宅住所
• 私用メールアドレス
• 私用電話番号
• 顔など個人の特徴を識別できる部分が写った写真
• 生体データ（網膜スキャンなど）

など

＜ほかの情報と組み合わせることでPIIとなり得る情報の例＞

• 生年月日
• 出生地
• 業務用電話番号
• 業務用メールアドレス
• 勤務地の住所
• 人種
• 信仰宗教
• 学歴

など

PIIは日本で言うところの「個人情報」とほぼ同じようなものだと考えることができます。なお、日本の個人情報保護法において個人情報は以下のように定義されています。

• 生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報
• 上記のほか、個人識別符号（個人に割り振られる公的な番号）が含まれる情報

＜個人情報の例＞

認証を取得する組織の役割：PII管理者とPII処理者

PIMS認証を取得する組織の役割は、「PII管理者」と「PII処理者」の大きく2つに分類されています。組織は、いずれか一方、あるいは両方を選択して認証取得を目指すことになります。

PII管理者

私的な目的でデータを使う個人を除く、PIIを処理するための目的および手段を決定するプライバシー利害関係者を指します。

PII処理者

PII管理者に代わり、かつ、その指示に従ってPIIを処理するプライバシー利害関係者を指します。

ISO 27701の構成

ISO 27701は、8つの箇条と6つの附属書（A〜F）で構成されています。各条項と附属書の大まかな内容は以下の通りです。

ISO 27701の要求事項

上の表にあるように、ISO 27701の要求事項は箇条5にまとめられており、要求事項を満たす上で実施すべき管理策が附属書AおよびBに、また管理策を実施する方法に関する具体的な手引が箇条7および8に記載されています。

＜要求事項の主な例＞

• ISO 27701に従ってPIMSを構築すること
• PIIがどのように取得・使用・共有・削除されるのかといったPIIの管理に関する対策を定義すること
• PIIを処理・管理するすべての利害関係者に厳格な役割を与えて強力なパスワードを使わせること

など

ISO 27701とGDPR

上記の表の通り、ISO 27701の附属書にはGDPRとのマッピングを示すものがあります。ISO 27701の認証を取得することが必ずしもGDPRへの準拠を保証するとは限らないものの、同規格に基づいて適切にPIMSを構築することで、GDPR対応を支援することが可能です。

※GDPRについてさらに詳しくは、こちらの記事もご覧ください：GDPRとは？概要や日本企業が知っておくべき4つのポイント

ISO 27701の改訂について

ISO 27701の現行バージョンは2019年にリリースされたISO/IEC 27701:2019ですが、2026年には新たなバージョンが発行されるのではないかと言われています。この改訂により、ISO 27701はこれまでのようなISO 27001のアドオン（拡張）規格ではなく、独立した1つの規格（独立したマネジメントシステム）になるとされています。つまり、規格改訂以後は、ISMS認証（ISO27001）を取得していなくてもPIMS認証単独で取得できるようになるということです。

このほか、ISO/IEC 27701:2025はGDPRだけでなくより幅広いプライバシー規制への対応を支援するものになること、2022年発行の新たなISO 27001規格（ISO/IEC 27001:2022）と整合性が取れた内容になることなどが見込まれています。

ISO 27701（PIMS）認証を取得するメリット

ISO 27701（PIMS）認証を取得することで、主に以下のようなメリットが期待できます。

• データ管理プロセスやセキュリティ体制の改善：ISO 27701は、プライベートデータの管理に関する明確な手順およびポリシーの策定に役立つ内容になっています。このため、要求事項を満たしていくことはデータ保護体制の強化に繋がります。
• GDPRなどへの準拠をアピール：ISO 27701（PIMS）認証の取得により、GDPRをはじめとする世界のプライバシー規制へ準拠できていることを、対外的にアピールすることが可能です。
• データ漏洩時の法的リスク軽減：上記に関連し、万が一データ漏洩が生じたとしても法的リスクや金銭的リスク（例：制裁金を科されるなど）が軽減されることも期待できます。
• 対外的な信頼の獲得：顧客やパートナー企業、規制当局などからデータプライバシーに関する信頼を獲得することができます。

PIMS（ISO 27701）認証とプライバシーマークの違い

PIMS（ISO 27701）認証と似た趣旨のものに、プライバシーマーク（Pマーク）があります。プライバシーマークとは、適切な個人情報保護措置を講じていることが審査で認められた企業に対して付与される認証マークのことです。プライバシーマークを取得するためには、「JIS Q 15001個人情報保護マネジメントシステム－要求事項」という日本国内向けのJIS規格に基づいて「個人情報保護マネジメントシステム（PMS）」という個人情報を安全に管理するための仕組み・体制を構築し、第三者機関の審査を受ける必要があります。

PIMS（ISO 27701）認証が国際規格に基づく世界的な認証であるのに対し、プライバシーマークは日本国内のみを対象としています。このほか、両者には以下のような違いがあります。

プライバシーマークについてさらに詳しくは以下の記事をご覧ください：プライバシーマーク（Pマーク）とは？意義やメリット、制度概要について解説！

ISO 27701（PIMS）認証の取得を検討すべき企業

公共／民間問わず、また営利／非営利問わず、PIIの収集、処理、保管、管理を行うあらゆる組織がISO 27701（PIMS）認証の取得を志すことができます。中でも特に、プライバシー保護体制を強化したい企業や、GDPRの影響を受ける企業やグローバルに事業を展開している企業は認証取得により大きなメリットを享受できるものと考えられます。

＜GDPRの影響を受ける企業（以下のいずれかに該当する企業）＞

• EUにビジネスの拠点を有している（子会社、支店・事業所、代理店など）
• EU居住者を採用している
• 日本からEU向けに商品やサービスを提供している
• 日本からEUのユーザーの行動監視をしている（ホームページでのCookie取得による閲覧履歴の収集など）

まとめ

ISO 27701（ISMS-PIMS）認証についてまとめると、以下のようなポイントが挙げられます。

• ISO 27701とは、ISO 27001（ISMS）に基づいたデータプライバシー管理体制「PIMS」を構築するための国際規格
• 日本国内において、ISO 27701はISMS認証を前提に「ISMS-PIMS認証」として認証化されている
• ISMS-PIMS認証はISMS認証のアドオン認証だが、近い将来に単独での取得が可能となる予定
• ISO 27701の対象は、「PII（個人識別可能情報）」
• PIIとは、単独で、またはほかの情報と組み合わせることである個人の身元を識別できる情報のこと
• ISO 27701の附属書にはGDPRとの対応付けを示すものがあり、GDPRの影響を受ける企業に特に有益
• 認証の取得により、プライバシー情報の保護・管理体制を強化できる、対外的な信頼がアップする、GDPR準拠対応の実施状況をアピールできる、などのメリットが期待できる

PIIの取り扱いがある企業、特にEU圏内に拠点があったりEU向けにサービスや商品を提供しているという企業は、ISMS-PIMS認証の取得を検討してみてもいいかもしれません。ただ、2026年以降にISO 27701の改訂版が発行されると考えられています。新規格への移行に不安がある、もしくはそもそもPIMS認証が自組織に適しているのかわからない、といった課題のある企業には、こうした認証制度に詳しいコンサルサービスの利用を検討してみるのもお勧めです。

マキナレコードでも、ISMS-PIMS認証のほか、通常のISMS認証やISMSクラウドセキュリティ認証、プライバシーマークなど、さまざまな認証の取得を支援しています。詳しくは、弊社ホームページをご覧ください。