ISO/IEC 27701 改訂版が発行されました

独立した規格として発行された改訂版 ISO/IEC 27701 は、企業のプライバシー情報マネジメントの強化を支援します。

プライバシー情報マネジメントシステム（PIMS）に関する国際規格 ISO/IEC 27701 の新バージョンがついに公開されました。国際標準化機構（ISO）および国際電気標準会議（IEC）は、2025年10月14日に新バージョンの承認・発行を発表しました。

今回の改訂で最も大きな変更点は、ISO/IEC 27701 が独立した規格として発行されたことです。
これにより、世界中の組織がプライバシー情報マネジメントシステム（PIMS）をより強化できるようになります。
従来のように情報セキュリティマネジメントシステム（ISMS）の拡張としてではなく、プライバシーリスクおよびその管理に特化した独立した認証可能なマネジメントシステムとして運用できるようになり、より幅広い組織にとって導入しやすくなりました。

新しい改訂版の要求事項および実施ガイダンスは、従来の ISO/IEC 27701:2019, ISO/IEC 27001:2022, および ISO/IEC 27002:2022 の既存規格の要件・規定を基に構成されています。新しい規格は、ISO 9001（品質）、ISO/IEC 27001（情報セキュリティ）、ISO/IEC 42001（人工知能／AI） など、他の既存のマネジメントシステムと統合できるよう設計されており、規模、業種、運用の複雑さを問わず、あらゆる組織に柔軟に適用できる仕組みとなっています。

「組織は、個人データの管理から情報漏えいリスクの低減、国内外の規制の変化への適合まで、データ保護の複雑さにますます対応することが求められています。こうした状況において、ISO/IEC 27701 が独立した規格として発行されたことは非常に歓迎されることです」と、DNV グローバル ICT マネージャーのThomas Douglas氏は述べています。

主な変更点

改訂版 ISO/IEC 27701 では、進化するデータプライバシーおよびセキュリティの状況に対応するため、いくつかの重要な強化が導入されています。主な内容は以下の通りです：

• 独立したプライバシー情報マネジメントシステム（PIMS）として発行され、ISO/IEC 27001 に依存しません。
• データ処理者およびデータ管理者向けの指針が拡充。
• AI やデジタル環境における個人データ管理の明確化。
• プライバシーを組織全体の方針、リーダーシップ、ガバナンス戦略、計画策定、および継続的改善に組み込むことへの重点化。
• GDPR、CCPA、LGPDなど、主要な国際規制への対応

改訂版規格への認証取得および移行に関する公式ルールはまだ公表されていませんが、2019年版の規格で既に認証を取得している組織は、計画的かつ適切なタイミングでの移行に向けて、早めに準備を進めておくことをおすすめします。
事前の計画は、コンプライアンスの確保だけでなく、ステークホルダーからの信頼強化にもつながります。
移行および認証に関するガイダンスは今後数週間以内に公表される予定であり、各認定機関もこれに従った運用を行うことになります。