ISO/IEC 27001、ISO/IEC 27701により、個人情報を含んだ組織全体の情報資産およびITインフラの効率的な管理運用を
個人情報のセキュリテイマネジメントシステムに関する国際規格、ISO/IEC 27701:2019が、2019年8月に発行されました。
ISO/IEC 27701は、既存の「ISO/IEC 27001:2013 情報セキュリティマネジメントシステム(ISMS) 要求事項」ならびに「ISO/IEC 27002:2013 情報セキュリティ管理策の実践のための規範」に対して、「個人を特定できる情報」(PII: Personally Identifiable Information)の管理を拡張するという観点から策定された、ISO/IEC 27001ならびにISO/IEC 27002に付加されるアドオン規格です。
セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針
Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines
■ISO/IEC 27000シリーズやISO 9001、ISO 14001と同じ規格文書構造
個人情報保護に関するマネジメントシステム要求事項としては、「JIS Q 15001:2017 個人情報保護マネジメントシステム 要求事項」がありますが、ISO/IEC 27701は他のISO/IEC 27000シリーズやISO 9001、ISO 14001と同じ規格文書構造で設計されています。そのため、既にISMSや他のISOマネジメントシステムを導入している場合、ISO/IEC 27701の適用は比較的容易であると考えられます。ISO/IEC 27701の導入を検討するケースとしては以下が想定されます。
• 個人情報だけではなく、他の情報資産も含め、包括的にISOマネジメントシステムで管理したい。
• 顧客から、PマークだけではなくISMS認証の取得が求められている。
• 品質・環境マネジメントシステムと個人情報マネジメントシステムを統合したい。
■個人情報を含んだ組織全体の情報資産ならびにITインフラの効率的な管理運用
個人情報を主に取り扱う組織においても、ビジネスで取り扱う情報はそれだけにとどまりません。毎日の業務で取り扱う情報資産に対して起こりうる、漏えいや改ざんなどのさまざまなリスクは日々高まっており、組織として保有する情報資産全体を効率的に管理する仕組みの導入が求められています。
ISO/IEC 27001によるISMSの構築と運用、それにISO/IEC 27701に規定された個人情報保護に関する独自の要求事項や管理策を付加することにより、個人情報を含んだ組織全体の情報資産ならびにITインフラの効率的な管理運用が期待できます。
テュフ ラインランド ジャパンは、ISMS-AC、およびDAkkSより認定を受けた、情報セキュリティマネジメントシステムの認証機関です。ISO/IEC 27001の認定認証の取得、それを前提としたISO/IEC 27701(プライベート認証)を含んだ包括的な認証が可能です。ぜひお問い合わせください。
<参考リンク – テュフ ラインランド ジャパン ウェブサイト>
ISO 27001 情報セキュリティ
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 3/30/2021