コラム第882号:「ISO/IEC 27701の2025年改訂とその影響」
第882号コラム:佐藤 慶浩 理事(オフィス四々十六 代表)
題:「ISO/IEC 27701の2025年改訂とその影響」
ISO/IEC 27701の改訂
本コラムの第661号と第761号で、2019年に発行された「国際規格ISO/IEC 27701~PIMS:プライバシー情報マネジメントシステム」の紹介をしました。この規格は、2024年にJIS化され「JIS Q 27701 セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針」として発行されました。
ISO/IEC 27701は、ISO/IEC 27001(情報セキュリティ・マネジメントシステム。以下、「ISMS」と書きます。)とISO/IEC 27002を拡張したものでしたが、今年2025年に以下のように改訂されます。
(1) ISMSを拡張するものではなく独立したマネジメントシステムになる。
(2) セキュリティ対策としてISMSを前提としないものになる。
(3) これらにより規格名称は、プライバシー情報マネジメントシステムになる。
規格としては、大幅な変更となりますが、これまでのコラムで説明したプライバシー対策の内容についての大きな変更はなく、基本的な考え方はまったく変わりませんので、これまで読んでいただいたことは無駄にはならないので安心してください。
独立したマネジメントシステムに変更することは、いずれかの国からの要望があったものではありません。規格を管理しているISOにおいて、マネジメントシステム規格については、規格を拡張するという方式を設けない(認めない)という見直し方針が新たに示されたことにより変更することになりました。
改訂される内容を具体的に紹介します。改訂される前の27701を27701:2019、2025年に改訂される27701を27701:2025と書くことにします。
(1) マネジメントシステムの独立
27701:2019は、マネジメントシステムに関する箇条については直接記載しておらず、27001規格文書に記載されている「情報セキュリティ」を「情報セキュリティ及びプライバシー」に読み替えなさいという要求をすることで、情報セキュリティ及びプライバシーのためのマネジメントシステムを構築することを要求していました。27701:2025は、27001から独立するため、マネジメントシステムに関する箇条が追加されます。マネジメントシステム規格の箇条の構成はMSS(Management system standard)という規格で定められており、27001を含むすべてのマネジメントシステム規格はそれに準拠していますが、それらと同様の箇条構成と内容になりました。
(2) 情報セキュリティ対策の自由度向上
ISMSへの依存をなくすため、PII(Personally identifiable information、概ね個人情報のこと)のセキュリティ対策については、ISMSは一例となります。そのため、ISMSで用いているinformation security managementという用語を使わずに、information security programmeという用語を使うことになります。聞き慣れない用語となりますが、情報セキュリティ対策について新しい考え方や方法を示すものではなく、27701:2019の情報セキュリティ対策と同等の対策を指すものであって、ISMSには限定されないものとすることから、これまで他で使われていなさそうな用語にするため、information security programでもなく、information security programmeに変えました。ただし、日本語にすると、どちらも「情報セキュリティプログラム」になってしまうので、他で使われていないとは言い切れない用語になってしまいますが、特定の情報セキュリティ対策に限定するものではないという趣旨になります。
(3) 情報セキュリティ対策の対象
情報セキュリティ対策の対象は、PIIだけではなく、「PII and other associated assets related to PII processing」となります。PII以外で対象となる情報の例としては、PIIにアクセスするためのシステムのパスワードがあります。パスワードそのものはPIIではない場合もありますが、そのパスワードを使ってシステムにアクセスすることで、PIIにアクセスできる場合には、そのパスワードについてセキュリティ対策をする必要が当然あるので、情報セキュリティで保護する対象にするということです。
以上の他に、箇条構成の変更もありますが、27701:2025がまだ発行されておらず引用できないので、発行後にご確認いただければと思います。
ISO/IEC 27701改訂の国際規格での位置づけ
27701は、ISMSによる情報セキュリティについてのマネジメントシステムを構築している組織が、プライバシー対策を追加する場合には運用しやすいものでした。しかし、ISMSによるマネジメントシステムを構築していない組織が、プライバシー対策のために27701を使用しようとすると、まずはISMS構築として、プライバシーや個人情報とは関係ない情報全般についてのセキュリティ対策をする必要がありました。(図1)
ISMSが対象とする情報は、すべての情報ですから、集合関係としては、プライバシー対策のために保護する情報は、ISMSが対象とする情報の一部ということになります。実際にも、ISMSにおいても、「附属書Aの5.34プライバシー及び個人を特定できる情報(PII)の保護」として取り扱うことになっています。(図2)
27701は、これらのISMSに上乗せとして、プライバシー対策を拡張するものでした。(図3)
つまり、個人情報とまったく関係ない情報のセキュリティ対策(図3の青色部分)は、プライバシー対策として必ずしも保護する必要がない部分ということになります。
そのため、ISMS拡張規格としての27701は、どちらかというとISMS認証を既に取得している組織、すなわち、個人情報を含むすべての情報のセキュリティ対策(図1の青色部分)を済ませている組織が使用することを想定しています。もちろん、情報のセキュリティ対策を一切しないという組織はないはずなので、ISMSを構築することは組織にとって余分なことではないですが、プライバシー対策についての認証を取得する場合には、個人情報と関係ない情報のセキュリティ対策(図3の青色部分)についても認証を取得することは、必要な範囲を超えるものだったといえます。
27701が独立したマネジメントシステムに改訂されることで、ISMS認証を取得していない組織にとっては、必要最小限の範囲で認証を取得すればよくなります。
しかし、改訂によって、ISMS認証を取得している組織は、ISMSとプライバシー情報マネジメントのための2つのマネジメントシステムを構築することになります。これらは、統合マネジメントシステム(IMS:Integrated management system)として、複数のマネジメントシステムを効率的に統合することができるので、手間が単純に2倍になってしまうことはないですが、改訂前にはISMSのマネジメントシステムで両方を運用できたのに比べると、手間が増えることはあり得ます。この場合に、マネジメントシステムを増やしたくないのであれば、ISMSにISO/IEC 29151「Code of practice for personally identifiable information protection」を追加するという方法があります。もともと、27701が開発されたきっかけは、ISMSに29151を追加すると、マネジメントシステムの部分が不足するためでした。しかし、組織が自ら、ISMSの「情報セキュリティ」を「情報セキュリティ及びプライバシー」に拡張してマネジメントシステムの構築をすることで、不足部分を補うことができます。29151で用いられている用語や考え方は、27701と同じなので概ね等価と考えて構いません。ただし、本書を執筆している2025年7月時点では、29151のJIS化の予定はなく、日本語対訳書も出ていないため、日本でISMSに29151を追加する場合には、29151については英語原文を使用することになります。
ISO/IEC 27701改訂のJIS規格への影響
27701が独立したマネジメントシステムに改訂されることは、プライバシー対策に関する国際規格としては、単純でわかりやすいものになったと言えます。統合マネジメントシステムの課題はありますが、ほとんどの国で、前向きにとらえられています。
ただし、個人情報保護に関するJIS Q 15001という独立したマネジメントシステムがある日本は少し事情が違います。15001は、プライバシーマークやJAPiCOマーク認証の基準となるJIS規格です。
これまでのJIS規格としての位置づけは、ISMSを構築している組織は27701を使用し、そうではない組織は15001を使用するという使い分けがありました。ところが、27701:2025が独立したマネジメントシステムになったことで、位置づけを見直す必要があります。
JIS Q 15001は日本固有のマネジメントシステム規格として開発され、マネジメントシステムの部分は日本独自のものでしたが、15001の2017年改訂のときに、マネジメントシステムの部分をJIS Q 27001に整合させました。その結果、現行の15001と27701:2025のマネジメントシステムは、ほぼ同じものとなっています。
27701:2025と15001の大きな違いは、附属書として提供されるリスクマネジメント項目やそれに基づく管理策の構成と内容になりますので、その違いで、組織がどちらを選択したいかで使い分けることが考えられますが、公式にはまだ決まっていません。
以上のように、JIS Q 27701とJIS Q 15001が、ISO/IEC 27701:2025により、今後どのような関係になるのかを注視したいと思います。
【著作権は、佐藤氏に属します】
