ISMS-PIMS
ISO/IEC 27701は、2019年に発行されたプライバシー保護の国際規格です。ISMS-PIMS認証は、従来からのISMSをベースにISO/IEC 27701を取り込んだマネジメントシステムのPDCAサイクルが構築されていることを認証するものです。PIMSでは規格の対象となる組織を「PII管理者」と「PII処理者」に分けて定義されています。
PII管理者(PII controller)
PIIを事業として処理するための目的及び手段を決定するプライバシー利害関係者。(私的な目的でデータを扱う個人を除く)
PII処理者(PII processor)
PII管理者に代わって個人データを取扱うプライバシー利害関係者。
※日本の個人情報保護法における「委託先」とほぼ同じ意味と考えてよい
対象組織
業種・業態に関わらず、あらゆる組織が認証を取得することができます。
※本認証はISO/IEC 27001のアドオン認証ですので既に認証取得している。または同時に認証取得する必要があります。
認証取得の効果
- PIMSは国際規格であり、その認証取得により組織における体制の構築や、各国・地域を含めた対外的な信頼感の醸成に役立ちます。
- ステークホルダーに対して、組織が受ける相手国や地域のプライバシー規制に適合していることの説明責任を果たすことができます。
- 情報セキュリティ管理の共通基盤であるISMSの拡張機能として策定されているため、ISMSに依存する多くの組織にとって、各国のプライバシー規制に対するコンプライアンスの拡張だけでなく、セキュリティとプライバシーの高度な運用を可能にできます
規格の構成
1 適用範囲
2 引用規格
3 用語,定義及び略語
4 一般
4.1 規格の構成
4.2 JIS Q 27001:2014 要求事項の適用
4.3 JIS Q 27002:2014 指針の適用
4.4 取引先
5 JIS Q 27001 に関連する
PIMS 固有の要求事項
5.1 一般
5.2 組織の状況
5.3 リーダーシップ
5.4 計画
5.5 支援
5.6 運用
5.7 パフォーマンス評価
5.8 改善
6 JIS Q 27002 に関連する
PIMS 固有の手引
6.1 一般
6.2 情報セキュリティのための方針群
6.3 情報セキュリティのための組織
6.4 人的資源のセキュリティ
6.5 資産の管理
6.6 アクセス制御
6.7 暗号
6.8 物理的及び環境的セキュリティ
6.9 運用のセキュリティ
6.10 通信のセキュリティ
6.11 システムの取得,開発及び保守
6.12 供給者関係
6.13 情報セキュリティインシデント管理
6.14 事業継続マネジメントにおける情報セキュリティの側面
6.15 順守
7 PII 管理者のための
JIS Q 27002 の追加の手引
7.1 一般
7.2 収集及び処理の条件
7.3 PII 主体に対する義務
7.4 プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルト
7.5 PII の共有,移転及び開示
8 PII 処理者のための
JIS Q 27002 の追加の手引
8.1 一般
8.2 収集及び処理の条件
8.3 PII 主体に対する義務
8.4 プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルト
8.5 PII の共有,移転及び開示
附属書A(規定)PIMS 固有の管理目的及び管理策(PII 管理者)
附属書B(規定)PIMS 固有の管理目的及び管理策(PII 処理者)
附属書C(参考)ISO/IEC 29100 への対応付け
附属書D(参考)EU 一般データ保護規則への対応付け
附属書E(参考)ISO/IEC 27018 及びISO/IEC 29151 への対応付け
附属書F(参考)この規格をJIS Q 27001 及びJIS Q 27002 に適用する方法