PIMS（プライバシー情報マネジメントシステム）とは

近年、GDPR（EU一般データ保護規則）をはじめとして、世界各国でプライバシー保護に関する法規制が強化されています。組織はこれらの法令に対応するため、個人情報の取り扱いに関する包括的な管理体制の構築が求められています。PIMSは、こうした国際的な動向に対応し、PII（Personally Identifiable Information：個人識別可能情報）の収集・利用・保管・加工などの処理に関するリスクを管理し、プライバシー保護を実施するための枠組みとなっています。

ISO/IEC 27701は、プライバシー情報マネジメントシステム（PIMS）の確立・実施・維持・改善に関する要求事項及び手引を定めた国際規格であり、情報セキュリティの側面も考慮してプライバシー対策に関するリスクを管理することを定めています。この規格は、個人を特定できる情報であるPIIを取り扱うPII管理者（※1）とPII処理者（※2）を対象としています。この規格を適用することによって、PIIの処理について、組織内で体系的な管理が可能となります。

※1：PII管理者
　私的な目的でデータを使う個人を除く、PIIを処理するための目的及び手段を決定するプライバシー利害関係者。
※2：PII処理者
　PII管理者に代わり、かつ、その指示に従ってPIIを処理するプライバシー利害関係者。
　　　　　　　　　　　　　　　　　　（ISO/IEC 29100 Privacy frameworkでの定義）

ISO/IEC 27701:2025は、ISOマネジメントシステム規格であることから、構成はISMS（ISO/IEC 27001）やQMS（ISO 9001）などと同様に、ISOマネジメントシステム規格共通の構成に沿っています。

ISO/IEC 27701で定義されているプライバシー情報マネジメントシステムは、PIIを取り扱う（処理する）組織について、上記のとおりPII管理者とPII処理者の2つの役割を定義し、それぞれの役割において、PII処理に関する要求事項を規定しています。その他、特徴としては、以下のような内容が挙げられます。

●要求事項に加え、具体的なPII処理のための手引を提供している
●ISMSと同様に、具体的な管理策を提示しており、組織は自らのPII処理について管理策との比較によりマネジメントシステムの妥当性を検証することができる

プライバシー情報マネジメントシステムを構築・運用する際には、上記のポイントを特に重視する必要があるでしょう。

また、ISO/IEC 27701:2019では前提であったISMS（情報セキュリティマネジメントシステム）は必須ではなくなりましたが、依然として情報セキュリティ対策は必要とされており、「情報セキュリティプログラム」として、用語の定義に「組織の資産に対するリスクを管理し，情報の機密性，完全性及び可用性を確実にするために設計された方針，目的及びプロセスの集合」と規定されています（注釈1の中では、「注釈1　情報セキュリティプログラムは，例えば，ISO/IEC 27001 に基づくような情報セキュリティマネジメントシステムとすることができる。」と記載されています）。 これにより、ISO/IEC 27701:2019に基づくマネジメントシステムを運用していた組織は、引き続きISMSとともにPIMSを運用することが可能になっています。