ISO審査登録・JIS製品認証・GHG排出量検証

日本検査キューエイ株式会社

ISO審査登録

ISO/IEC27701

（ISMSプライバシー情報マネジメントシステム、ISMS-PIMS<ピムス>）

ISMS-PIMSとは

ISMS-PIMSは、組織がプライバシー情報管理を行う際の枠組みを提供する新たなマネジメントシステムの仕組みであり、GDPR^(*) などを含むさまざまな個人情報保護に関する規制に対応できる包括的な一連の運用管理の仕組みを規定しています。

ISMS-PIMSはISO/IEC27001のアドオン審査として認証可能な規格であり、今後、ISMSの国際規格としての認知度から、より高い注目を集めると見込まれます。

ISMSにISO/IEC27701に基づく個人情報保護の管理策を付加することにより、個人情報を保有する事業者が個人情報を取得、利用・活用する際の個人情報に関するリスクマネジメントの実施、個人情報管理レベルの向上により、個人情報保護に関する様々なリスク対応としての効果が期待できます。
また、ISO/IEC27001に加えてISO/IEC27701の認証を取得することで、個人情報保護に対応した情報セキュリティ管理の取組みを外部組織にアピールすることができます。

^(*) GDPR：General Data Protection Regulation（一般データ保護規則）

ISO/IEC27701の認証対象

ISMS-PIMSは、PII（個人識別可能情報／Personally Identifiable Information）管理者とPII処理者に対する管理策を明確にしているのが特徴です。
規格が規定する「認証対象」は3通りあります。

　(1)　PII管理者（PII controller）
　(2)　PII処理者（PII processor）
　(3)　PII管理者及びPII処理者

ISMS-PIMSの適用範囲

ISMS-PIMSの認証はISMSの認証が必須です。そのため、ISMSを既に認証している組織がISMS-PIMSを追加認証するか、ISMSとISMS-PIMSを同時に新規認証することになります。ISMSの適用範囲の中にISMS-PIMSの適用範囲が定義され、ISMSの適用範囲を越えることはできません。適用範囲は、次に図示する範囲のどちらかとなります。

ISO/IEC27017の規格構成

（ご参考）　ISO/IEC27701:2019の条項

箇条5　ISO/IEC 27001に関連するPIMS固有の要求事項

　　5.1　一般
　　5.2　組織の状況
　　5.3　リーダーシップ
　　5.4　計画
　　5.5　支援
　　5.6　運用
　　5.7　パフォーマンス評価
　　5.8　改善

箇条6　ISO/IEC 27002に関連するPIMS固有の手引

　　6.1　一般
　　6.2　情報セキュリティのための方針群
　　6.3　情報セキュリティのための組織
　　6.4　人的資源のセキュリティ
　　6.5　資産の管理
　　6.6　アクセス制御
　　6.7　暗号
　　6.8　物理的及び環境的セキュリティ
　　6.9　運用のセキュリティ
　　6.10　通信のセキュリティ
　　6.11　システムの取得、開発及び保守
　　6.12　供給者関係
　　6.13　情報セキュリティインシデント管理
　　6.14　事業継続マネジメントにおける情報セキュリティ側面
　　6.15　順守

箇条7　PII管理者のためのISO/IEC 27002の追加の手引

　　7.1　一般
　　7.2　収集及び処理の条件
　　7.3　PII主体に対する義務
　　7.4　プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルト7.5 PIIの共有、移転及び開示

箇条8　PII処理者のためのISO/IEC 27002の追加の手引

　　8.1　一般
　　8.2　収集及び処理の条件
　　8.3　PII主体に対する義務
　　8.4　プライバシー・バイ・デザ8.5 PIIの共有、移転及び開示

附属書A（規定）　PIMS固有の管理目的及び管理策（PII管理者）

　　A.7.2　収集及び処理の条件
　　A.7.3　PII主体に対する義務
　　A.7.4　プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルトA.7.5 PIIの共有、移転及び開示

附属書B（規定）　PIMS固有の管理目的及び管理策（PII処理者）

　　B.8.2　収集及び処理の条件
　　B.8.3　PII主体に対する義務
　　B.8.4　プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルト
　　B.8.5　PIIの共有、移転及び開示

JICQAのISO/IEC27701の審査の特色

継続的な改善に貢献できる審査・登録
専門の審査チームが初回〜更新審査まで3年継続して担当

お客様のマネジメントシステムを向上させるため、継続的な改善に貢献します。
審査チームリーダーは原則初回審査から更新審査まで3年間担当いたします。
審査員は、ISO/IEC27001、ISO/IEC27701だけではなく、ISO9001（品質）、ISO14001（環境）等の2種類以上のマネジメントシステムの審査員資格を有しており、幅広い見地からの審査が可能です。

JICQAの審査プロセス

当社の審査プロセスを以下に示します。詳しくは資料をご請求ください。

６カ月から８カ月

見積作成依頼書のご記入

見積作成依頼書はこちらから入手できます。ご記入後、営業部までFax等でご提出下さい。
見積書のご検討

見積内容でご不明な点がございましたら、営業部までお問い合わせください。
審査登録のお申し込み / ご契約

マネジメントシステム審査申請書等をご提出下さい。（※1）
審査チームリーダー決定

幅広い専門性、高い審査技術を持つチームリーダーを選定します。
第1段階審査

ISMS文書の整備状況の確認と第2段階審査で不適合が懸念される領域（懸念領域）の特定を目的に行います。
第2段階審査　

組織が自ら定めた方針、目的、手順、運用状況の確認、実作業の観察等により、文書化された手順が理解され、実施され、維持されていることを確認します。(※2)
登録の可否決定

初回審査の審査結果に基づき、認証決定プロセスにおいて登録の可否を決定します。
登録証発行

登録の決定後、登録証（有効期間は登録日から3年間）を発行します。（※3）
サーベイランス審査

少なくとも年1回、定期的に組織を訪問し、組織のISMS及びISMS-PIMSの要求事項について引き続き適合し、維持されていることを確認します。
更新審査

3年に1回、組織のISMS及びISMS-PIMSが要求事項に引き続き適合しているかどうかを審査し、また組織のマネジメントシステムの有効性ならびに登録範囲の適切性についても確認し、評価します。
登録更新の可否決定

更新審査の審査結果に基づき、登録の有効期限満了日までに認証決定プロセスにおいて登録更新可否の決定を行い、登録更新可と決定した組織の登録証を更新します。

(※1)　審査申請書には、認証対象に関して、下記をご記入ください
　（1）PII管理者
　（2）PII処理者
　（3）両者の複合

(※2)　ISMSの既登録組織がISMSのサーベイランス審査時、もしくは更新審査時に併せてISO/IEC27701を拡張する場合は、初回審査相当の第1段階審査、第2段階審査を実施しません。

(※3)　ISMSの登録証とは別に、ISMS-PIMSに関する登録証を発行します。