ISO27701プライバシー情報マネジメントシステム

ISO 27701とは?

ISO 27701はプライバシー情報の保護に関する国際規格です。

ISO 27701とは、国際標準化機構(ISO)より2019年8月に発行されたプライバシー情報のマネジメントに関する国際規格です。

近年、個人情報の保護やプライバシー保護に関する各国の規制において、グローバルな対応が重視され、また、リスクマネジメントに基づく、適切な仕組みの確立やその取り組みに焦点があたるようになりました。

そのような中、ISO 27000ファミリー規格として、プライバシー情報マネジメントのISO 27701が発行されました。

規格の特長

  •  本規格の特長
    – ISO 27001の要求事項をベースとしているため、新しいフレームワークの確立を必要としない
    – ISO 27001のリスクアセスメントと、ISO 29100のプライバシーフレームワークによるプライバシー安全対策要件により、効果的なプライバシーリスクマネジメントの確立を可能にする。
  • ISO 27001の規格要求事項と管理策は、ISO 27701の中で網羅されている
  •  プライバシー情報に関するリスクアセスメントは、ISO 27001のリスクアセスメントで実施される
  •  プライバシーリスクアセスメントプロセスに関わる要素は、ISO 29100で定義される

プライバシーマークとの違い

現在日本国内では、プライバシーマーク(Pマーク)制度がありますが、この制度は、全社・全事業で取り扱うすべての個人情報を対象とした個人情報保護マネジメントシステムを構築する必要があり、また、日本国内に限定されている制度であることに対し、国際規格であるISO 27701は、適用範囲や対象となる個人情報をその重要度などに応じ、組織で選択することが可能となっています。

<ISO 27701とプライバシーマーク(Pマーク)の違い>

認証取得までの3ステップ

STEP1  ISO 27001に基づく、ISMS(情報セキュリティマネジメントシステム)の構築

ISO 27701を認証取得する際の前提として、ISMS(情報セキュリティマネジメントシステム)の国際規格であるISO 27001の認証取得が必要となります。

すでにISO27001に基づくISMSを構築し、認証済みのお客様はSTEP2からとなり、ISMSを構築されていないお客様はSTEP1とSTEP2を並行して行います。

STEP2 ISO 27701の規格要求事項を実現するためのルール・体制づくり

ISO 27701の規格要求事項を実現するためにルールや手順、体制、管理策(セキュリティ対策)などを整備します。

基本的に、以下の活動を行います。

  • 規格要求事項の理解
  • 現状のルールや体制と規格要求事項のGAP分析
  • 必要なルールや手順、体制、管理策(セキュリティ対策)の整備

STEP3 上記STEP2で構築した仕組みの運用

導入教育を行い、組織内に構築した仕組みを導入します。また、1.0~2.0ヶ月間運用を行った後に、内部監査、マネジメントレビューを行います。

マネジメントレビューまで終了すると、認証審査を受審することができます。

STEP4 第三者認証機関による審査の受審

ISO 27701の認定機関から認定を受けている、認証機関から審査を受けます。

審査において適切に構築され、運用されていることが確認されると、審査の約1ヶ月~2ヶ月後に正式にISO 27701の認証が授与されます。

 

当社のコンサルティングサービスの内容

ISO 27701の認証を全般的にサポートさせていただきます。

ISMSを構築されていないお客様は、下記に加え、ISO27001の構築もサポートさせていただきます。

[1]ISO 27701規格解説研修

当社オリジナルの図解でわかりやすいテキスト(日本語版)を提供し、ISO/IEC 27701の規格要求事項のポイントについて、説明いたします。

[2]GAP分析・基本要件の決定に関するご支援

現状とISO 27701の規格要求事項とのGAP分析を効率的か効果的に実施できるワークシートを提供し、貴社の現状分析作業及び基本要件の決定についてサポートいたします。

[3]手順及び管理策の整備に関するご支援

上記[2]で決定した基本要件を、具体的に手順及び管理策(プライバシー保護)に落とし込む際のミーティングに参加し、事例の紹介や助言を行い、規格要求事項実現のための作業をサポートさせていただきます。

[4]ISO 27701の認証審査に関するご支援

実際の審査時の立会、及び審査後のフォローアップをサポートさせていただきます。

※こちらは汎用的なサービス内容となっております。まずは貴社の状況やご要望をおうかがいした上で、貴社のニーズにあったサービスをご提案させていただきます!

お気軽にお問い合わせください

当社では、ISO27701の新規認証に関するご支援等、各種サービスを取り揃えております。
また、ご要望のお客様には個別相談会やメール・電話でのご質問を承っております。
お気軽にお問い合わせください。

ISO27701に関するお問い合わせはこちら