ISO/IEC 27701への対応について
2019年8月にISO/IEC 27701*1が発行されました。この国際規格は、ISMSの認証基準であるISO/IEC 27001及び情報セキュリティ管理策の実践のための規範であるISO/IEC 27002を拡張したものであり、ISMSに加えて、個人情報の処理によって影響を受ける可能性のあるプライバシーを保護するための要求事項とガイドラインが規定されています。ISO/IEC 27701に基づく認証は、ISO/IEC 27001に基づく認証の拡張となることから、ISMS適合性評価制度の一環となる予定です。
ISO/IEC 27701の審査及び認証を行う機関に対する要求事項(認証機関の認定基準)については、2019年10月にISOにおいて検討が開始され*2、今後、国際標準として整備されていく予定です。また、IAF(認定機関の国際的な組織)でも、ISO/IEC 27701を用いた適合性評価に関する枠組が検討される見込みです。
このような状況を受けて、ISMS-ACとしても、国内におけるISO/IEC 27701に係る認定事業の開始に向けた検討に着手しました。今後、国際動向を踏まえつつ、国内のISMSの認証機関及び認証を希望する組織のニーズに則り、的確に対応して参ります。
*1 ISO/IEC 27701:2019
Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002 の拡張-要求事項及び手引
*2 ISO/IEC JTC1における検討
2019年10月に開催されたISO/IEC JTC1 SC27内のWG1・WG5合同会合において、認証機関の認定基準の検討を開始することが決定された。