プライバシー情報管理システム(PIMS)
法規制への対応
データ保護のコンセプトを規制当局に納得させることができます。
プロセス指向による全体的なコンテクストの高い理解
プライバシー情報管理システム(PIMS)の規範的基盤
ISO 27701によるプライバシー管理とは何ですか?
例えば、組織の文脈を考慮する場合、関連するデータ保護法や裁判所の判決などを考慮しなければならない。同様に、リスクアセスメントでは、個人データの処理に関連する基準を考慮しなければならない。
ISO 27701は、ISO 27001に準拠した情報セキュリティマネジメントシステムとの組み合わせでのみ認証を受けることができます。欧州一般データ保護規則(GDPR)の第5条および第32条には、ISO 27701規格に準拠したデータ保護マネジメントシステムを導入することにより、その遵守を証明することができる要件が定められています。
これにより、データ保護が一定程度証明され、データ保護事故による罰金の可能性を回避または軽減することができます。
この規格を導入すれば、ヨーロッパのGDPRの要件を満たすことになりますか?
このようにして、ISO 27701は、個人データ保護に関する欧州GDPRの要求事項をマネジメントシステムに統合し、満たすためにも使用することができるのです。ISO 27701の附属書には、GDPRの要件に関連して講じるべき措置の詳細な表が記載されているため、この点に関して貴重な支援を提供しています。
企業における欧州GDPRの実施状況は、どのように証明されるのでしょうか。
GDPRの第83条(2文字d)によると、企業が積極的かつ構造的にデータ保護に対処している程度も、罰金の査定に影響します。
ISO 27701に準拠したマネジメントシステムを導入した後は、DQSの審査を受けることができます。この場合、データ保護の重要性が高いこと、およびデータ保護マネジメントシステムが機能していることを客観的に証明することができます。
ISO 27001(情報セキュリティマネジメント)に準拠した認証を必要とするISO 27701に準拠した認証により、欧州のGDPRの要求事項を統合するための強固な基盤が構築されます。場所によっては、GDPRが事実上マネジメントシステムを前提とした対策を要求していることもあります。
ISO27701認証の仕組みは?
最初のステップでは、貴社、貴社のマネジメントシステム、ISO/IEC 27701認証取得の目標について、私たちと話し合います。これをもとに、個々のニーズに合わせた詳細かつ透明性の高い提案を迅速に行います。
特に大規模な認証プロジェクトの場合、計画会議は、審査員を知るための貴重な機会であり、関係するすべてのエリアと場所のための個別の審査プログラムを作成することができます。また、事前審査は、貴社のマネジメントシステムの長所だけでなく、改善の可能性を事前に確認する機会でもあります。どちらのサービスもオプションです。
認証審査は、システム分析(審査ステージ1)から始まり、文書、目的、マネジメントレビューの結果、内部監査の評価などを行います。このプロセスでは、お客様のマネジメントシステムが十分に構築され、認証取得の準備が整っているかを判断します。
次のステップ(システム審査ステージ2)では、審査員が現場でのすべてのマネジメントプロセスの有効性を評価します。最終会議では、審査員から結果の詳細な説明と、貴社が改善する可能性のある点の指摘を受けます。必要に応じて、アクションプランが合意されます。
システム審査に基づき、マネジメントシステムの評価が行われ、報告書が作成されます。規格の要求事項をすべて満たしている場合、ISO27701の認証書が発行されます。
認証取得後もISO 27701の重要な要求事項をすべて満たしていることを確認するため、毎年サーベイランス審査を実施しています。これにより、データ保護マネジメントシステムおよびビジネスプロセスの継続的な改善を適切にサポートします。
認証の有効期限は最大3年間です。再認証は、証明書の有効期限が切れる前に適宜実施され、適用される規格要件への継続的な準拠を保証します。適合が確認されると、新しい認証書が発行されます。
ISO 27701認証の取得費用は?
私たちに期待できること
- 地域、国内、国際的なスペシャリストによるパーソナルでスムーズなサポート
- 隠れコストなしの柔軟な契約条件による個別オファー
- 行動勧告を含む有意義な審査報告書