ISMS適合性評価制度

ISMS-PIMS認証とは

ISMS-PIMS認証は、JIS Q 27001:2014 (ISO/IEC 27001:2013) に適合したISMS（情報セキュリティマネジメントシステム）認証を前提とし、ISO/IEC 27701:2019に基づくプライバシー情報マネジメントシステムの要求事項に適合していることを認証する制度です。
したがって、ISMS-PIMS認証を取得するには、ISMS認証を既に取得している必要があります（※）。

ISMS-PIMS認証の認証基準

ISMS-PIMS認証の認証基準は、

• 「ISO/IEC 27701:2019 プライバシー情報マネジメントのためのISO/IEC 27001 及び ISO/IEC 27002 の拡張 -要求事項及び指針-」

です。
ISO/IEC 27701は、ISMS認証の認証基準である

• ISO/IEC 27001:2013 情報セキュリティマネジメントシステム -要求事項-

ガイドラインである

• ISO/IEC 27002:2013 情報セキュリティ管理策の実践のための規範

に対し、それぞれプライバシー情報マネジメントのための要求事項とガイドラインを追加した規格として作成されています。

組織の役割

ISMS-PIMS認証では、ISMSクラウドセキュリティ認証のように、認証を取得する組織の役割を以下のように定義しています。

• PII管理者：
  私的な目的でデータを使う個人を除く、PIIを処理するための目的及び手段を決定するプライバシー利害関係者。
• PII処理者：
  PII管理者に代わり、かつ、その指示に従ってPIIを処理するプライバシー利害関係者

（JIS X 9250:2017(ISO/IEC 29100:2011）プライバシーフレームワーク（プライバシー保護の枠組み及び原則）での定義）

ISMS-PIMS認証を取得する際には、PII管理者かPII処理者、あるいは両方を選択して認証を取得することになります。

適用範囲

ISMS-PIMS認証は、ISMS認証が前提となります。したがって、ISMS-PIMS認証を取得する場合、ISMS-PIMS認証の範囲は、ISMSの適用範囲と同一か、ISMSの適用範囲の一部である必要があります。
ISMS-PIMS認証の適用範囲の一部が既に取得済みのISMS認証の適用範囲外となる場合は、ISMS認証の範囲を拡大したうえで（ISMS認証の拡大審査が必要）、ISMS-PIMS認証の審査を受けることで、ISMS-PIMS認証を取得することができます。

ISMS-PIMS認証に関するよくあるご質問と回答（FAQ)

• ISMS-PIMS認証 FAQ