# ISO/IEC27701とは?
- 個人情報保護の為の仕組みの構築、運用の為の要求事項と実施の手引き
- ISMSの規格(ISO/IEC27001)とガイダンス(ISO/IEC27002)の拡張という形で構成
# この規格が必要とされる背景
- 情報化社会の今日、組織の活動はグローバル化し、個人情報の取り扱いも増加
- 地域や業界によって個人情報の保護へ要求は様々
# メリット
- 既存のISMSを拡張する事で個人情報を保護する為の取組を構築できる(負担が少ない)
- GDPRなどの様々な個人情報保護に対する法令の遵守をサポート
- 国際規格に基づいて個人情報保護への取組が実施されているという信頼感を利害関係者に与える
# デメリット
- ISO/IEC27001(ISMS)の構築が必要
- 現時点(2020.4)では、ISOの適合性評価制度になっていない
# 規格内容
- ISO/IEC 27001:2013の要求事項に追加
- ISO/IEC 27002:2013のガイダンスに追加の手引き
- PII管理者の為の追加の手引き
- PII処理者の為の追加の手引き
- IS0/IEC 29100との対応付け表
- GDPR(一般データ保護規則)との対応付け表
# Pマークとの違いは?
| 項目 | PISM(ISO/IEC27701) | Pマーク(JISQ15001) |
|---|---|---|
| 規格 | 国際規格 | 日本産業規格 |
| PII管理者 PII処理者の区別 | あり | なし |
| 適用範囲 | 限定可能 (サービス単位など) | 限定不可 (法人単位) |
| 第三者認証制度 | 審査機関のプライベート認証のみ | JIPDEC |
- PマークはPII管理者向けの管理策が多く、PII処理者としての視点が不足している。
例)クラウドサービス提供者は、サービス利用者が個人情報を取得していた場合、 自らが管理するクラウドサービス上に個人情報が存在する事になるが、 クラウドサービス提供者が利用者の取得した個人情報を管理する事ができないという理由で除外される事も。 一方で、個人情報の管理を行うサービス利用者も、 サービスやそのサービスで使用される機器を管理する事ができない為、 個人情報の処理及び保護が適切に行われていると言えない状況になっている可能性がある。