ISMS-PIMS認証に関するFAQ

PI-10. ISMS-PIMS認証の認証基準について

認証基準：

Ｑ．PI-101 : ISMS-PIMS認証の認証基準は何ですか？
Ａ． ISMS-PIMS認証の認証基準は、
「ISO/IEC 27701:2019 プライバシー情報マネジメントのためのISO/IEC 27001 及び ISO/IEC 27002 の拡張 -要求事項及び指針-」
です。

※日本規格協会から入手可能です（日本語訳あり）

日本規格協会 JSA GROUP Webdesk

ISO/IEC 27701とは：

Ｑ．PI-102 : ISO/IEC 27701とは、どのような規格でしょうか？ JIS Q 27001（ISO/IEC 27001）とは、何が違うのでしょうか？
Ａ． ISO/IEC 27701は、情報セキュリティマネジメントシステム（ISMS）の要求事項が規定されている JIS Q 27001（ISO/IEC 27001）及び指針（ガイドライン）である JIS Q 27002（ISO/IEC 27002）を拡張し、プライバシー情報マネジメントのための要求事項と指針を追加したものです。
JIS Q 27001（ISO/IEC 27001）や JIS Q 27002（ISO/IEC 27002）の目的が情報セキュリティであるのに対し、ISO/IEC 27701の目的は情報セキュリティ及びプライバシーです。

要求事項：

Ｑ．PI-103 : ． ISO/IEC 27701における要求事項はどのようなものですか？
Ａ． ISO/IEC 27701では、PIIを取り扱う組織の役割として「PII管理者」と「PII処理者」という2つを定義しており、それぞれの役割について異なる要求事項が規定されています。
組織の役割がPII管理者であれば、「箇条5」と「附属書A（規定）」が要求事項となり、
組織の役割がPII処理者であれば、「箇条5」と「附属書B（規定）」が要求事項となります。
組織が両方の役割の場合、「箇条5」と「附属書A（規定）」と「附属書B（規定）」となります。
なお、「箇条6」、「箇条7」、「箇条8」は指針（ガイドライン）という位置づけです。

PI-20. PII管理者とPII処理者について

PII管理者とPII処理者：

Ｑ．PI-201 : PII管理者とPII処理者とは何ですか？
Ａ． ISO/IEC 27701では、組織の役割を2種類に分類し、管理策を規定しています。PII管理者やPII処理者の定義は、JIS X 9250:2017（ISO/IEC 29100:2011）によります。

2.10 PII管理者（PII controller）

私的な目的でデータを使う個人を除く、PIIを処理するための目的及び手段を決定するプライバシー利害関係者。

注記　PII管理者は、PIIの処理を代行するよう他の者[例　PII処理者（2.12）]に指示することがある。この処理の責任は、依然としてPII管理者にある。

2.12 PII処理者（PII processor）

PII管理者に代わり、かつ、その指示に従ってPIIを処理するプライバシー利害関係者。

（JIS X 9250:2017から引用）

PII管理者によるPIIの処理：

Ｑ．PI-202 : PII管理者はPIIの処理をすることがありますか？
Ａ．あります。PII管理者は、PII管理者としてPIIを管理するのみではなく、PII管理者としてPIIを処理することもあります。

※JIS X 9250にあるとおり、「PIIを処理するための目的及び手段を決定する」のがPII管理者の役割ですので、PIIを処理するうえで目的や手段を決定する組織は、PIIの処理を行うか否かに関わらず、PII管理者となります。

PII処理者によるPIIの管理：

Ｑ．PI-203 : PII処理者はPIIを管理することがありますか？
Ａ．あります。 PII処理者は、PII処理者としてPIIを処理すると共に、例えば、ISO/IEC 27701:2019の箇条5で要求されているようにPII処理者としてPIIを管理することも必要です。

PII管理者とPII処理者の違い：

Ｑ．PI-204 : PII管理者とPII処理者のPIIの取り扱いにおける違いは何ですか？
Ａ． PII管理者とPII処理者との違いは、PIIを取り扱うにあたって、自らの意思が入るか、入らないかといえます。自らの意思でPIIを取り扱う目的や方法を決めている場合には、PII管理者となります。自らの意思が入らず、PII管理者から指示されたとおりにのみPIIを取り扱う場合には、PII処理者となります。

Ｑ．PI-205 : PII管理者とPII処理者では、ISO/IEC 27701の要求事項は異なるのでしょうか？
Ａ．同じ要求事項と異なる要求事項があります。
PII管理者への要求事項の箇条は、「箇条5」と「附属書A（規定）」となります。
PII処理者への要求事項の箇条は「箇条5」と「附属書B（規定）」となります。

PI-30. 認証について

ISMS-PIMS認証の前提：

Ｑ．PI-301 : ISMS-PIMS認証は、ISMS認証を取得しいなくても取得できますか？
Ａ．できません。
ISMS-PIMS認証の取得は、ISMS認証を取得していることが前提となっています。なお、ISMS認証とISMS-PIMS認証の両方を新規で取得することは可能です。

認証の範囲：

Ｑ．PI-302 : ISMS-PIMS認証を取得したい範囲が、現在のISMS認証の認証範囲に含まれていないのですが、ISMS-PIMS認証を取得できますか？
Ａ． ISMS-PIMS認証の範囲は、取得済みのISMS認証の範囲と同一か、範囲に含まれていなければなりません（ISMS認証の範囲≧ISMS-PIMS認証の範囲）。ISMS-PIMS認証を取得したい範囲に、ISMS認証の範囲外の部分がある場合は、ISMS-PIMS認証の範囲を含めた形で、現在のISMSの認証範囲を拡大するなどの対応が必要となります。

有効期限：

Ｑ．PI-303 : ISMS-PIMS認証の有効期限は、ISMS-PIMS認証を取得してから3年ですか？
Ａ． ISMS-PIMS認証は、ISMS認証を取得していることを前提としているので、ISMS-PIMS認証の有効期限が、ISMS認証の有効期限を超えることはありません。
例えば、2023年6月に有効期限を迎えるISMS認証を取得していて、2022年4月に新たにISMS-PIMS認証を取得した場合、ISMS-PIMS認証の有効期限は、ISMS認証の有効期限と同じ2023年6月となります。

認証の一時停止や取消し

Ｑ．PI-304 : ISMS認証が一時停止や取消しになった場合は、ISMS-PIMS認証はどうなりますか？
Ａ． ISMS-PIMS認証はISMS認証の取得が前提となっていますので、前提となるISMS認証が一時停止や取消しになった場合には、ISMS-PIMS認証も一時停止や取消しになります。
なお、ISMS-PIMS認証が一時停止や取消しとなった場合は、その理由やISMSへの影響等により、前提となるISMS認証も一時停止や取消しとなる場合もあります。

ISMS-PIMS認証と ISO/IEC 27701認証：

Ｑ．PI-305 : ISMS-PIMS認証と、ISO/IEC 27701認証は、同じものですか？
Ａ．認証基準としてISO/IEC 27701を用いるという点では、両者に違いはありません。