--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [ISO/IEC 27701（PIMS）の改訂～旧版からどう変わったか～](https://www.newton-consulting.co.jp/itilnavi/guideline/iso27701_pims_2025_revision.html)【ニュートン・コンサルティング】(2026年02月10日) --- > [!NOTE] この記事の要約（箇条書き） - プライバシー情報マネジメントシステム（PIMS）の国際規格ISO/IEC 27701が2025年10月に改訂された。 - 旧版はISMS認証のアドオンだったが、改訂版ではPIMS単独での認証取得が可能になった。 - PIMSはISMS（ISO/IEC 27001）やAIMS（ISO/IEC 42001）と同様にPDCAサイクルを基盤としており、これらの規格との統合運用が推奨されている。 - 認証方法には、ISMSとの同時取得、既存ISMSへのPIMS追加、PIMS単独取得の3パターンがある。 - 単独認証が可能になったものの、強固なマネジメントシステム確立のため、ISMS取得とPIMS運用を組み合わせるアプローチが引き続き推奨される。 - 要求事項の本質的な内容は大きく変わっておらず、最大の変更点は「単独認証が可能になったこと」である。 > [!NOTE] 要約おわり --- サイバー／デジタルリスクNavi  ISO/IEC 27701（PIMS）の改訂～旧版からどう変わったか～ プライバシー情報マネジメントシステム（PIMS）の国際規格である「ISO/IEC 27701」の最新版が、2025年10月に国際標準化機構（ISO）より発行されました。これまでのISO/IEC 27701は、ISMS（情報セキュリティマネジメントシステム）認証を前提とした「アドオン認証」という位置付けでしたが、今回の改訂により単独での認証取得が可能となりました。本稿では、他のISO規格との関係性や旧版からの変更点、およびPIMSを整備・運用する企業が留意すべき実務上のポイントについて解説します。 ## ISO/IEC 27701から見たISO規格の関係性 ISO（国際標準化機構）は、国際的な取引を円滑にするため、品質、セキュリティ、環境など多岐にわたる分野で共通の基準を策定する国際機関です。ISO規格には製品を対象にした規格のほか、ISMSやBCMS、QMSといったマネジメントシステム規格があり、これらはPDCAサイクルによる継続的改善を共通のフレームワークとしています。 プライバシー情報マネジメントシステムであるPIMS（ISO/IEC 27701:2025）もこの共通のフレームワークを適用して設計されています。近年、AIの利活用が進む中で、AIシステムが個人情報を扱うケースが増えており、プライバシー管理とAIガバナンスをどのように両立させるかが重要な論点となっています。AIMS（※1）では、こうした課題を踏まえ、ISMS（※2）やPIMSとの統合運用を前提とした考え方が示されています。 ※1　ISO/IEC 42001：AIマネジメントシステム（以降、AIMS） ※2　ISO/IEC 27001：情報セキュリティマネジメントシステム（以降、ISMS） ISMSとの関連 AIシステムの導入においてセキュリティ確保が鍵となる場合、組織はISMSとAIMSを統合して運用できます。両規格は要求事項の構造が共通しているため、複合的な利用が容易であり、セキュリティに関連する管理策の実装をISMS側に集約・統合できるという付加価値があります。 PIMSとの関連 AIシステムが個人識別可能情報（PII）を扱う場合、法規制遵守のためにプライバシー管理と独自の対処方針を定める必要があります。組織はPIMSとAIMSを統合することで、AIシステムにおけるプライバシー措置をPIMSの実装に組み込むことができ、大きな便益を得られます。  なお、PIMSの運用においては依然としてISMSの取得が推奨されており、これらの関係性は上図（図1）のように整理できます。ISOのマネジメントシステムは共通の考え方に基づいているため、いずれかの規格でPDCAサイクルを回す体制を構築していれば、他の規格の認証も効率的に進めることが可能です。 ## ISO/IEC 27701:2025とは PIMSは、「情報セキュリティ、サイバーセキュリティおよびプライバシー保護 ― プライバシー情報マネジメントシステム ― 要求事項およびガイダンス」と称される国際規格で、2019年に初版が発行されました。当初はGDPR（EU一般データ保護規則）などの動向を背景に、ISMS規格であるISO/IEC 27001および27002を補完・拡張する形で策定されました。その後、昨今のプライバシー保護需要の急増を受け、改訂版ではISMSから独立し、PIMS単独での認証取得が可能となりました。厳格なプライバシー対応が求められる現代において、本規格は組織がグローバルなビジネス環境で信頼を築き、維持するための不可欠なツールとなっています。本規格の導入は、国際的なベストプラクティスを遵守していることの客観的な証明となり、顧客や取引先からの信頼獲得に繋がります。 ## ISO/IEC 27701:2025の位置づけと構成 位置づけ 前述の通り、PIMSはこれまではISMSの拡張規格でしたが、改訂版は独立したマネジメントシステム規格として再編されました。PIMSでは、PIIの処理に関連するプライバシーリスクを管理するため、PDCAサイクルをどのように組織へ適用すべきかを具体的に定めています。 PIMSの構成 PIMSのメインとなる本文は、全部で7つの章（第4章～第10章）から構成されています。巻末には6つの附属書（附属書A～F）が掲載されています。中でも、附属書Fは2019年版との対応関係が示されているため、旧版からの移行の際に大変役に立ちます。規格の構成は以下の通りです（図2）。  出典　ISO/IEC 27701:2025をもとにニュートン・コンサルティングが作成 ## ISMSアドオン規格からの変更点 改訂版ではPIMSを単独のマネジメントシステム規格として運用できるよう要求事項とガイダンスが再構成されました。ISMSなしでPIMSを確立、実施、維持、継続的に改善するための枠組みが明示されています。具体的には、個人識別可能情報（PII）の処理におけるPII管理者とPII処理者向けの管理策、PII処理のための条件、PII主体への義務などが含まれます。 この変更に伴い、認証方法も変更になりました。従来のPIMSでは、ISMSの取得を前提としていましたが、現在は単独での認証が可能となっています。一方で、ISOとしては依然としてPIMSだけではなくISMSと同時の取得を推奨しているため、企業としての認証方法は以下の3パターン存在します。  すでにISMSを取得している企業に関しては、PIMSを一から構築せずとも、PIMSの要求事項のうち、固有の追加部分に焦点を当てて対応することで、効率的に認証を取得することができます。未だISMSを取得していない企業に関しては「①ISMSを取得し、PIMS固有の追加部分に焦点を当てて対応を行う」「②PIMSのマネジメントシステムを一から構築し、PIMS単独で認証取得を行う」の2つの方法があります。 PIMSにおいてISMSの取得は依然として推奨されており、ガバナンス構築の面では有効です。しかし、同時取得は準備期間や費用が増大するため、自社のビジネス状況やコスト、取引先からの要求レベルに応じて最適なパターンを判断すべきでしょう。 ## まとめ 本稿では、PIMSの改訂に伴う主な変更点を解説しました。最大の変更点は「単独認証が可能になったこと」であり、要求事項の本質的な内容が大きく変容したわけではありません。 変更に伴い、企業が選択できる認証の選択肢は広がりましたが、どのパターンであっても強固なマネジメントシステムの確立が必要であることに変わりはありません。プライバシー情報の適切な保護には、土台となる情報セキュリティの確保が不可欠です。そのため、基本的にはこれまでと同様、ISMSの枠組みを活かしつつ、PIMSを運用していく体制が最も堅実で推奨されるアプローチといえます。 ## 参考情報 [記事一覧](https://www.newton-consulting.co.jp/itilnavi/guideline-list/) ---