ISO27701とISO27018との違いについて徹底解説!

プライバシー情報に関するISO規格として比較的最近(2019年8月)発行されたISO27701ですが、クラウドサービスでの個人情報取扱いに関する規格ISO27018との違いがよく分からないというご質問をいただくことも多いです。

今回は、このISO27701とISO27018との違いについて解説していきます。

各規格について

ISO27018とは、クラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた国際規格です。
ISO27018について詳しくは「ISO27018とは」をご覧ください。

これに対し、ISO27701は世界各国で個人情報保護の気運が高まってきたことに対応して、これまで『情報』セキュリティ全般のマネジメントシステム規格として存在していたISO27001の『プライバシー保護部分』を拡張する形で作成された国際規格です。
ISO27701について詳しくは「ISO27701とは」をご覧ください。

対象となる情報の違い

ISO27018では、パブリッククラウド上で管理するPII(個人情報)が保護の対象となっています。

これに対して、ISO27701の保護の対象としているのは、PIIの取り扱いを行っていくうえでのプライバシーへの影響であり、その処理されるのが仮想環境であるか否かを問いません。つまり、紙媒体で個人情報を取り扱っている会社の業務も適用対象となります。

認証取得可能な組織の違い

ISO27018では、パブリッククラウド上で管理するPII(個人情報)が保護の対象となっているので、クラウドサービスを提供している組織が、PII処理者(PII管理者からPIIの処理に関する指示を受けてその代わりに行っている組織)である必要があります。

これに対し、ISO27701は、PII処理(個人情報の取扱い)を行っている組織全てが認証取得可能です。そのため、PII(個人情報)をどういった目的で取扱うのかやどういった手段で取扱うのかを決定する「PII管理者」という立場と、PII管理者からの指示に従ってPII(個人情報)を処理する「PII処理者」の両方の立場で認証取得が可能となります。
なお、「PII管理者」「PII処理者」の役割(どちらか一方若しくは両方)を組織は決定する必要があります。

ISMS(ISO27001)の管理策に追加される管理策の数の違い

ISO27018もISO27701も、ISMSの規格であるISO27001を拡張したアドオン規格となっており、構築する際には取得しているISO27001認証を前提として(ISO27001との同時取得も可能)、各規格に書かれているクラウドの個人情報処理に関する部分や、プライバシー取扱い全般に関する管理策を追加でルール化等していくことになります。

ISO 27018では、追加の管理策として39個の管理策があります。
これに対して、ISO 27701では、PII管理者向けに31個、PII処理者向けに18個の追加の管理策があります。

まとめると以下のようになります。

ISO27701:2019 ISO27018:2014
規格 国際標準規格 ISO/IEC 27701:2019 国際標準規格 ISO/IEC 27018:2014
対象情報 適用範囲内のPII 適用範囲内のクラウドサービス上で取り扱うPII
対象となる企業・団体
【PII管理者】
PIIをどのような利用目的でどのように取り扱うかを決定している組織
【PII処理者】
PII管理者に代わり、その指示に従ってPIIを取り扱っている組織
クラウドサービスで個人情報を取得・管理しているPII処理者
追加の管理策数
【PII管理者に対する管理策】
31個
【PII処理者に対する管理策】
18個
39個

ISO27701認証が向いている企業

従業員情報も含めると、個人情報を全く取り扱っていない組織は殆どいないでしょうから、ISO27701の対象になりうる組織は幅広いです。

もっとも、規格ではどういったPII処理(個人情報の取り扱い)をするかを適用範囲に含めなければならないとされています。そのため、例えば「自社の従業員の個人情報の取り扱い」のみを適用範囲としても対外的なアピールとしてはあまり意味がないかと思います。

したがって、顧客の個人情報の取り扱いをしっかりやっていますとアピールしたい企業が、主に顧客の個人情報の取り扱いに関して認証取得を目指すというケースが多くなるのではないでしょうか。

おわりに

さて、2019年8月に発行されたと書いたことからも分かる通り、ISO27701は、比較的新しい規格です。 よって、ISO27701自体の知名度は、現時点では決して高いとは言えません。

しかし、一部の審査機関によるプライベート認証(公的な認証ではなく審査機関独自での認証)しかないISO27018と違い、ISO27701では、認定機関により公式に認定された審査機関による認証審査が2021年初めには開始される予定です。そのため、今後の知名度や対外的な信頼性確保にはISO27701認証は有効といえるでしょう。

顧客から個人情報を預かって事業を行う、クラウドサービス提供者をはじめ、士業やB-to-Cの各組織の方が、顧客に向けて個人情報取扱いのアピールをする手段を検討しているのであれば、ISO27701の認証が向いているといえます。

「ISO27701について詳しく知りたい」「ISO27701認証取得について聞きたい」という方がいらっしゃいましたら、お問い合わせフォームよりお問い合わせください。

お気軽にご相談ください
ISO27701管理策資料
お問い合わせ/無料相談
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る