コラム第907号:「国際規格ISO/IEC 27701プライバシー情報マネジメントシステムの2025年改訂」
第907号コラム:佐藤 慶浩 理事(オフィス四々十六 代表)
題:国際規格ISO/IEC 27701プライバシー情報マネジメントシステムの2025年改訂
この記事は、コラム第882号:「ISO/IEC 27701の2025年改訂とその影響」の内容を最終的な確定情報で書き改めた記事です。(https://digitalforensic.jp/2025/07/14/column882/)
ISO/IEC 27701の改訂
2024年に発行された「JIS Q 27701 セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針」は、2019年に発行された国際規格のISO/IEC 27701をJIS化したものでした。
JIS規格の本文は、日本産業標準調査会のウェブサイト(https://www.jisc.go.jp/)で閲覧することができます。ホームページ右側「データベース検索」の「JIS検索」ページ「JIS規格番号からJISを検索」で「27701」を入力して「一覧表示」して、検索結果の規格番号「JISQ27701」を開き、PDFファイルを選んでから「新規の利用者登録」をすると、画面上でPDFを無料で閲覧することができます。ダウンロードや印刷するには出版元からの購入が必要です。
国際規格のISO/IEC 27701は、ISO/IEC 27001(情報セキュリティ・マネジメントシステム。以下、「ISMS」と書きます。)とISO/IEC 27002を拡張したものでしたが、2025年に以下のように改訂されました。
(1) ISMSを拡張するものではなく独立したマネジメントシステムになりました。
(2) セキュリティ対策としてISMSを前提としないものになりました。
(3) これらにより規格名称は、プライバシー情報マネジメントシステムになりました。
規格としては、大幅な変更となりますが、プライバシー対策の内容についての大きな変更はなく、基本的な考え方はまったく変わりませんので、以下の記事をご覧いただいていた場合には無駄にならないのでご安心ください。
第559号コラム:「クラウド時代の情報管理:情報の管理者と処理者を区別することの重要性」(https://digitalforensic.jp/2019/04/08/column559/)
第661号コラム:「国際規格ISO/IEC 27701~PIMS:プライバシー情報マネジメントシステム(前編)」(https://digitalforensic.jp/2021/04/19/column661/)
コラム第761号:「国際規格ISO/IEC 27701~PIMS:プライバシー情報マネジメントシステム(後編)」(https://digitalforensic.jp/2023/03/20/column761/)
独立したマネジメントシステムに変更することは、いずれかの国からの要望があったものではありません。規格を管理しているISOにおいて、マネジメントシステム規格については、規格を拡張するという方式を設けない(認めない)という見直し方針が新たに示されたことにより変更することになりました。
日本では、2026年1月からISO/IEC 27701:2025に基づくPIMS認証が始まっています。
参考:ISO/IEC 27701:2019からISO/IEC 27701:2025への改訂(https://isms.jp/pims.html)
この記事では、改訂された内容を具体的に紹介します。改訂される前の27701を27701:2019、2025年に改訂された27701を27701:2025と書くことにします。
(1) マネジメントシステムの独立
27701:2019は、マネジメントシステムに関する箇条については直接記載しておらず、27001規格文書に記載されている「情報セキュリティ」を「情報セキュリティ及びプライバシー」に読み替えなさいという要求をすることで、情報セキュリティ及びプライバシーのためのマネジメントシステムを構築することを要求していました。27701:2025は、27001から独立するため、マネジメントシステムに関する箇条が追加されました。マネジメントシステム規格の箇条の構成はMSS(Management system standard)という規格で定められており、27001を含むすべてのマネジメントシステム規格はそれに準拠していますが、それらと同様の箇条構成と内容になりました。
(2) 情報セキュリティ対策の自由度向上
ISMSへのISMSへの依存をなくすため、PIIのセキュリティ対策については、ISMSは一例となります。そのため、ISMSで用いているinformation security managementという用語を使わずに、information security programmeという用語を使うことになります。聞き慣れない用語となりますが、情報セキュリティ対策について新しい考え方や方法を示すものではなく、27701:2019の情報セキュリティ対策と同等の対策を指すものであって、ISMSには限定されないものとすることから、ISMSのinformation security managementではなく、より広義のinformation securityprogrammeになっています。
programmeという英単語ですが、programとprogrammeは同音同義ですが米国と英国で最初の母音の発音が異なります。()programは主として米国で使われており、programmeは主として英国で使われます。ただし、予定や計画という意味で使う場合には、米国においてもソフトウェアのprogramと区別するために、programmeを使うことがあるため、informationsecurity programmeとなりました。なお、本件と関係なく従前からIPA(独立行政法人 情報処理推進機構)は、programをプログラム、programmeをプロウグラムと書き分けていますが、27701:2025JIS 化されたときにどちらのカタカナ語を使うかは、現時点で決まっていません。
(3) 情報セキュリティ対策の対象
情報セキュリティ対策の対象は、PIIだけではなく、「PII and other associated assets related to PII processing」となります。PII以外で対象となる情報の例としては、PIIにアクセスするためのシステムのパスワードがあります。パスワードそのものはPIIではない場合もありますが、そのパスワードを使ってシステムにアクセスすることで、PIIにアクセスできる場合には、そのパスワードについてセキュリティ対策をする必要が当然あるので、情報セキュリティで保護する対象にするということです。
以上の(1)~(3)に基づく箇条構成の変更がありますが、内容に変更はありません。
ISO/IEC 27701改訂の国際規格での位置づけ
27701は、ISMSによる情報セキュリティについてのマネジメントシステムを構築している組織が、プライバシー対策を追加する場合には運用しやすいものでした。しかし、ISMSによるマネジメントシステムを構築していない組織が、プライバシー対策のために27701を使用しようとすると、まずはISMS構築として、プライバシーや個人情報とは関係ない情報全般についてのセキュリティ対策をする必要がありました。
ISMSが対象とする情報は、すべての情報ですから、集合関係としては、プライバシー対策のために保護する情報は、ISMSが対象とする情報の一部ということになります。実際にも、ISMSにおいても、「プライバシー及び個人を特定できる情報(PII)の保護」として取り扱うことになっています。
27701は、これらのISMSに上乗せとして、プライバシー対策を拡張するものでした。
つまり、個人情報とまったく関係ない情報のセキュリティ対策は、プライバシー対策として必ずしも保護する必要がない部分ということになります。
そのため、ISMS拡張規格としての27701は、どちらかというとISMS認証を既に取得している組織、すなわち、個人情報を含むすべての情報のセキュリティ対策を済ませている組織が使用することを想定しています。もちろん、情報のセキュリティ対策を一切しないという組織はないはずなので、ISMSを構築することは組織にとって余分なことではないですが、プライバシー対策についての認証を取得する場合には、個人情報と関係ない情報のセキュリティ対策についても認証を取得することは、必要な範囲を超えるものだったといえます。
27701が独立したマネジメントシステムに改訂されることで、ISMS認証を取得していない組織にとっては、必要最小限の範囲で認証を取得すればよくなりました。
しかし、ISMS認証を取得している組織は、これまでISMSによる1つのマネジメントシステムを構築すればよかったものが、2025年改訂により、ISMSとプライバシー情報マネジメントシステムの2つのマネジメントシステムを構築することになります。これらは、統合マネジメントシステム(IMS:Integrated management system)として、複数のマネジメントシステムを効率的に統合することができるので、手間が単純に2倍になってしまうことはないですが、改訂前にはISMSのマネジメントシステムで両方を運用できたのに比べると、手間が増えることはあり得ます。
この場合に、マネジメントシステムを増やしたくないのであれば、ISMSにISO/IEC29151「Code of practice for personally identifiable information protection」を追加するという方法があります。ただし、27701が開発されたきっかけは、ISMSに29151を追加するだけでは、マネジメントシステムの部分に情報セキュリティしかなく、プライバシーに関して触れていないことを補うためでした。これを解決するには、組織が自ら、自組織のISMSの「情報セキュリティ」を「情報セキュリティ及びプライバシー」に拡張してマネジメントシステムの構築をすることで、27701:2019と同じように補うことができます。(ISOは、マネジメントシステム規格の拡張版規格の制定をしないと決めましたが、規格を利用する組織が規格内容に追加の取り組みをすることに言及したものではないため、そのようにすることは問題ありません。)
29151で用いられている用語や考え方は、27701と同じなので概ね等価と考えて構いません。ただし、本書を執筆している2026年1月時点では、29151のJIS化の予定はなく、日本語対訳書も出ていないため、日本でISMSに29151を追加する場合には、29151については英語原文を使用することになります。
ISO/IEC 27701改訂のJIS規格への影響
27701が独立したマネジメントシステムに改訂されたことは、プライバシー対策に関する国際規格としては、単純でわかりやすいものになったと言えます。統合マネジメントシステムの課題はありますが、ほとんどの国で、前向きにとらえられています。
ただし、JIS Q 15001「個人情報保護マネジメントシステム-要求事項」という個人情報保護に関する独立したマネジメントシステムがある日本は少し事情が違います。15001は、プライバシーマーク制度やJAPiCOマーク制度の基準となるJIS規格です。
これまでのJIS規格としての位置づけは、ISMSを構築している組織は27701を使用し、そうではない組織は15001を使用するという使い分けがありました。ところが、27701:2025が独立したマネジメントシステムになったことで、位置づけを見直す必要があります。
JIS Q 15001は日本固有のマネジメントシステム規格として開発され、マネジメントシステムの部分は日本独自のものでしたが、2017年の改訂のときに、マネジメントシステムの部分をJIS Q 27001に整合させました。その結果、JIS Q 15001:2017とISO/IEC 27701:2025のマネジメントシステムは、ほぼ同じものとなりました。
15001と27701との大きな違いは、附属書として提供されるリスクマネジメント項目やそれに基づく管理策の構成と内容になりますので、その違いで、組織がどちらを選択したいかで使い分けることが考えられますが、公式にはまだ決まっていません。
以上のように、JIS Q 27701とJIS Q 15001の関係が、ISO/IEC 27701の2025年改訂とJIS Q 27701への反映により、今後どのようになるのかを注視したいと思います。
【著作権は、佐藤氏に属します】
