ISO/IEC 27701が6年ぶりの改訂へ
近年、クラウドサービスやAIの普及、グローバルなデータ移転により、組織が扱う個人情報の量と範囲は飛躍的に拡大しています。データ流通が企業価値の源泉となる一方で、プライバシー侵害が企業ブランドや法的リスクに直結するケースも増加しました。
こうした背景から、個人情報保護マネジメントシステム(PIMS)の国際規格であるISO/IEC 27701(2019年初版公開)は世界的に注目を集めています。
ISO27701の概要やプライバシーマークとの違い等については、過去のコラムを参照ください。
そして2025年、ISO/IEC 27701は初の改訂(2025年版)を迎えました。
本コラムでは、その改訂ポイントとして
「① ISMSから独立した管理体系になったこと」
「② 付属書A(Annex)の構成変更」
の2点を中心に、背景と企業への実務的影響をわかりやすく解説します。
改訂ポイント①:PIMSがISMSから独立したマネジメントシステムに
2019年版のISO27701は ISO/IEC 27001(ISMS)の拡張規格という位置づけで、ISMS認証取得企業が追加で取得するものでした。単独での認証取得は想定されておらず、規格の条文構造もISO27001に依存していたため、PIMS単体ではPDCAを完結できない状態だったのです。
しかし2025年版では ISOの共通マネジメントシステム条項が追加され、PIMS単独で管理サイクルを回せる構成に改められました。
この改訂により、ISO27001未取得の組織でも27701のみでマネジメントシステムの構築・認証が可能となっています。
実際、国内の認定機関であるISMS-ACも独立したPIMS認証制度の開始を公表しています。
総じて、PIMSは「ISMSの付録」から「独立したマネジメントシステム」へと飛躍したと言えるでしょう。
改訂ポイント②:付属書Aの構成変更(2019年版との比較)
2019年版では、ISO/IEC 27002の管理策に対応するガイドラインとして「箇条6」に追加管理策が示されていました。またPIMS固有の管理目的および管理策は附属書A(PII管理者向け)および附属書B(PII処理者向け)にそれぞれ整理されていました。
2025年版では、旧版の箇条6および附属書A・Bの内容がすべて新たな附属書Aに統合されています(2019年版と2025年版の対応関係は下表参照)。
| ISO27701:2019 | ISO27701:2025 |
|---|---|
| 附属書A PIMS固有の管理目的及び管理策(PII管理者) | A.1 PII管理者のための管理目的及び管理策 |
| 附属書B PIMS固有の管理目的及び管理策(PII処理者) | A.2 PII処理者のための管理目的及び管理策 |
| 箇条6 ISO/IEC 27002に関連するPIMS固有の手引き | A.3 PII管理者及びPII処理者のための管理目的及び管理策 |
この変更に伴い、2019年版ではガイドライン扱いで審査対象外だった箇条6由来の管理策も、2025年版では附属書Aの「要求事項」として順守が必要になると思われます。
ただし、管理策の内容自体に大きな変更はありません。
既存の管理策と重複する部分がほとんどであるため、過度に構える必要はないでしょう。
2025年版への対応方針:移行に向けた実務ポイント
ISO27701をすでに取得している事業者
既にISO27701認証を取得している企業の場合、2025年版への移行による影響はごくわずかです。
PIMSがISMSとは別の適用範囲を設定できるようになったため、認証運用の柔軟性はむしろ向上すると言えます。 対応が必要になるとすれば、新たに附属書Aに含まれた管理策(特に附属書A.3)への対応確認です。しかし、これらはISO27002由来の追加管理策であり、多くは現行のISMS管理策でカバー済みでしょう。大半の企業では既存の対策で対応可能と考えられます。
ISO27701を検討している事業者
2025年版になっても、ISO27701認証取得までのプロセスは2019年版から大きく変わりません。
すでにISMSなど他のマネジメントシステムを運用中であれば、その枠組みを援用してスムーズにPIMSを構築できます。ゼロから構築する場合でも、手順自体はISMS等と同様のPDCAアプローチで対応可能です。
付属書Aの管理策も2019年版から内容が大きく変わっていないため、新たに難しい要求が増える心配はほとんどありません。
ただし、日本の個人情報保護法では「PII管理者」「PII処理者」といった役割区分が定義されていないため、自社の個人情報保護に関する実態とISO27701の要求事項とのギャップ(Fit&Gap)分析を行い、足りない点がないか確認しておく必要があります。
まとめ:“改訂”に惑わされずに、冷静な対応を
ISO/IEC 27701:2025への改訂内容と対応方針について見てきました。
表面的には「ISMSからの独立」「付属書構成の変更」といった大きな変化がありますが、内容そのものの変更点は少なく、移行のプロセスも過度に心配する必要はありません。
キーワードに惑わされず実質を捉え、計画的に移行対応を進めていきましょう。
なお弊社ではISO27701(2019年版・2025年版)の認証取得支援サービスを提供しております。オンライン相談も受け付けておりますので、「ISO27701とは?」「取得するメリットは?」など基本的なご質問も含め、お気軽にご相談ください。
