ISO27701内部監査の完全ガイド|進め方・チェックポイント・失敗例まで徹底解説
2026年5月22日
目次
もっと見る
「ISO27701の内部監査は、ISMSと何が違うのか分からない」
「どこまで確認すればよいのか、監査のポイントが整理できていない」
このような疑問をお持ちではないでしょうか。
個人情報保護の重要性が高まる中、多くの企業でISO27701への対応や監査の高度化が求められています。
しかし、ISO27001の延長として考えてしまうと、本来重視すべき「本人保護」や「プライバシーリスク」の視点が不足し、実効性のある監査にならないケースも少なくありません。
この記事では、ISO27701内部監査の基本から、具体的な進め方、重点確認ポイント、よくある失敗と改善策までを体系的に解説します。
最後までお読みいただくことで、ISO27701内部監査の全体像を理解し、自社の運用に即した実効性の高い監査を実施するためのポイントを整理できます。
1.ISO27701の内部監査とは?ISO27001(ISMS)の内部監査との違い
(1)ISO27701(PIMS)とは何か
ISO27701は、ISO27001を拡張して策定された「プライバシー情報マネジメントシステム(PIMS)」の国際規格であり、個人識別情報(PII)の取扱いに関する責任と管理策を明確化するものです。
ISO27001が情報資産全般の保護を対象とするのに対し、ISO27701は「個人情報保護」に特化している点が特徴です。そのため内部監査においても、単なる情報セキュリティ対策の確認ではなく、個人情報が適法かつ適正に取り扱われているかを確認する必要があります。
具体的には、以下のような「本人視点」での確認が求められます。
- 利用目的が適切に設定・説明されているか
- 同意取得が適法に行われているか
- 削除・開示などの本人請求に対応できる体制があるか
- 委託先においても適切な保護が確保されているか
したがって、ISO27701内部監査は、情報漏洩を防ぐための監査にとどまらず、「個人情報保護体制の有効性」を確認する監査と位置づけられます。
ISO27701について、詳しくはこちらで紹介しています。
(2)ISO27001(ISMS)の内部監査との決定的な違い
ISO27001(ISMS)とISO27701では、監査の目的および視点が明確に異なります。
| 観点 | ISO27001(ISMS内部監査) | ISO27701(PIMS内部監査) |
|---|---|---|
| 主な目的 | 情報資産の保護 | データ主体(本人)のプライバシー保護 |
| 守る対象 | 自社の情報資産 | 個人(本人)の権利・利益 |
| 主な論点 | アクセス制御、ログ管理、マルウェア対策、バックアップ、インシデント対応など | 取得根拠の妥当性、利用目的の透明性、同意取得、第三者提供、越境移転、保有期間管理など |
| 評価視点 | 情報が守られているか | 適法かつ適正に取り扱われているか |
| リスクの焦点 | セキュリティリスク | プライバシーリスク |
ISMSの内部監査が「守れているか」を中心に評価するのに対し、PIMSの内部監査では「適切に扱っているか」「本人に不利益が生じていないか」といった視点まで含まれます。
この違いを理解せず、ISO27001の延長として監査を行うと、ISO27701の本質を見失うことになります。
(3)ISO27701では“情報資産”だけでなく「本人保護」が監査対象
ISO27701では、企業側の管理体制だけでなく、情報主体である本人の権利保護が重要な監査対象となります。
監査の焦点は、サーバやネットワークなどの防御にとどまらず、「本人の不利益が生じていないか」「透明性が確保されているか」に置かれます。
例えば、以下のような観点を確認します。
- 利用目的の説明が本人に理解可能な内容になっているか
- 同意を拒否した場合の代替手段が整理されているか
- 不要な個人データを保持し続けていないか
- 開示・削除等の請求対応期限が定義されているか
- 本人の権利(削除、訂正、データポータビリティ等)が侵害されていないか
また、監査では「規程が存在するだけ」で終わらず、実際の運用まで踏み込んで確認する必要があります。
【例:削除依頼対応】
- 受付担当者は誰か
- 本人確認の方法は何か
- システム上どこまで削除されるのか
- バックアップデータへの対応はどうなっているか
- 委託先が保持するデータの取扱いはどうなるか
このように、実際の運用レベルまで確認して初めて、本人保護の実効性を評価できます。
(4)内部監査で求められる「有効性」と「客観性」
ISO27701の内部監査では、「規程や文書があるか」ではなく、「その仕組みがプライバシーリスクを十分に低減できているか(有効性)」が重要な評価軸となります。
例えば、以下が存在するだけでは十分ではありません。
- 利用目的通知文
- 同意取得フォーム
- 委託先評価シート
これらについて、
- 最新版が実際に使用されているか
- 担当者が内容を理解しているか
- 実施記録が残っているか
- 例外対応ルールが整備されているか
といった点まで確認する必要があります。
また、監査の客観性も重要です。
監査員は対象部門から独立した立場で評価し、担当者の説明だけに依拠せず、証跡に基づいて判断する必要があります。
【確認すべき客観的証拠の例】
- システム画面
- ログ記録
- 申請・承認記録
- 契約書(委託契約等)
- 実際の受付メールや対応履歴
さらに、監査員にはISMSの知識に加え、個人情報保護法やGDPR等の関連法規制の理解が求められます。これにより、法的観点も踏まえた客観的な評価が可能となります。
2.ISO27701の内部監査の進め方|準備から実施まで
(1)監査範囲・対象部門の決め方
ISO27701の内部監査では、「個人情報(PII)のライフサイクル(取得・保管・利用・委託・提供・破棄)」に基づいて、部門横断的に監査範囲を設定する必要があります。
単に組織図ベースで範囲を決めるのではなく、「実際に個人情報を扱っている業務」を起点に対象を特定することが重要です。
【重点対象となりやすい部門例】
- 営業部門(顧客情報の取得・利用)
- マーケティング部門(同意取得・利用目的管理)
- 人事部門(従業員情報の管理)
- カスタマーサポート(問い合わせ対応・本人対応)
- 業務委託管理部門(委託先管理)
- 法務部門(契約・法規制対応)
- 情報システム部門(セキュリティ管理)
特に重要なのは、これらの部門間の「連携」です。例えば、マーケティングで取得した個人情報が営業やサポートにどう渡り、最終的に削除されるのかまで含めて確認する必要があります。
注意すべき誤りとして、「システム部門だけを監査して終了する」ケースがありますが、ISO27701では現場部門こそが監査の中心となります。
(2)ISO27701の内部監査で使うチェックリストの作成ポイント
ISO27001の内部監査チェックリストを流用するだけでは不十分であり、ISO27701ではプライバシー特有の観点を追加する必要があります。
【主な確認観点】
- 利用目的が最新かつ適切に定義されているか
- 同意取得方法が明確で記録が残っているか
- 第三者提供の記録が管理されているか
- 保存期間を超過したデータが存在しないか
- 委託契約にプライバシー条項が含まれているか
- 本人の権利請求(開示・削除等)への対応フローがあるか
また、チェックリストはISO27701附属書(管理者:附属書A、処理者:附属書B)の管理策をベースに設計しますが、重要なのは設問形式です。
単なるYes/Noではなく、「証跡(エビデンス)重視型」にする必要があります。
【例】
- ×「同意取得手順はありますか」
- ○「直近3件の同意取得記録と取得時の画面・ログを確認する」
さらに、「いつ」実施されたか、「どのような根拠」で判断されたかまで確認できる設問にすることで、実運用を評価できます。
(3)ヒアリング・証跡確認で見るべきポイント
ISO27701監査では、「説明」と「実態」が一致しているかを検証することが重要です。
例えば、「不要データは削除している」と説明された場合には、以下を確認します。
- 削除ログ
- 保持期限一覧
- 自動削除設定の有無
- バックアップデータの取扱い
また、単発の確認ではなく、処理プロセス全体の連続性も重要です。
【例】
- プライバシーポリシー改定時に既存ユーザーへ通知されたか
- 再同意の取得がどのように実施・管理されたか
さらに、現場では規程と異なる運用が発生しているケースもあるため注意が必要です。
【代表例】
- Excelによる独自管理
- 個人PCへの保存
- メール添付での情報共有
そのためヒアリングでは、以下を実施します。
- 実際のシステム画面を確認する
- 日常業務の流れを説明してもらう
- 例外対応時の処理を質問する
これにより、「形式的な運用」と「実際の運用」の乖離を把握できます。
(4)是正対応と継続的改善につなげるコツ
内部監査の目的は不適合の指摘そのものではなく、「根本原因の特定と再発防止」です。
不適合が発見された場合は、単なる修正で終わらせず、原因を掘り下げて分析します(根本原因分析:RCA)。
【主な原因例】
- 手順不足
- 教育不足
- システム仕様の不備
- 責任分担の不明確さ
- 委託先管理の不足
- プライバシー影響評価(PIA)の見落とし
特にISO27701では、「なぜその時点でリスクを検知できなかったか」という視点での分析が重要です。
また、個人情報保護は法規制の影響を強く受けるため、一度の是正で完結するものではありません。
継続的改善として、定期的な規程・手順の見直し、利用目的や同意文面の更新、委託先の再評価、運用状況の再確認などの取組が求められます。
このように、内部監査を単発のチェックではなく、継続的なプライバシーリスク低減の仕組みとして機能させることが重要です。
3.ISO27701の内部監査で重点的に確認すべきポイント
(1)個人情報の取得・利用・削除は適切か
監査では、個人情報のライフサイクル全体に対して、「必要性」と「適切性」の両面から確認を行います。
まず、取得段階では「本当にその情報が必要か」を確認します。
代表的な問題例として、以下が挙げられます。
- 不要な生年月日の取得
- 利用目的を超えた目的外利用
- 退職者情報の長期保管
また、利用段階では、目的外利用を防止するための技術的・組織的コントロールが現場で機能しているかを確認します。
削除については特に重要であり、単なるシステム削除の確認だけでは不十分です。
以下まで含めて確認します。
- システム上の削除
- バックアップデータの取扱い
- 紙媒体の廃棄
- 委託先が保有するデータ
- 保管期間を過ぎたデータの自動削除または匿名化フロー
(2)同意取得・プライバシー通知は適法に運用されているか
重要なのは、「同意を取得しているか」ではなく、「適切な説明のもとで取得されているか」です。
【確認すべき主なポイント】
- 利用目的が具体的かつ明確に記載されているか
- 第三者提供の有無が適切に説明されているか
- 包括同意になっていないか
- Cookie利用などの説明が十分か
- 本人が理解しやすい表現で通知されているか
- オプトインが必要な場合に適切な同意取得方法となっているか
- 自由な意思に基づく同意を阻害するUI(ダークパターン)がないか
また、注意点として、プライバシーポリシーや同意文面の改訂が現場のフォームや画面に反映されていないケース
が多く見られるため、実際の画面・運用を確認することが重要です。
(3)開示・訂正・削除などデータ主体の権利対応は機能しているか
ISO27701では、本人の権利対応の実効性が重要な監査項目です。
監査では、以下の要素を確認します。
- 問い合わせ・請求の受付窓口が明確か
- 本人確認方法が定義されているか
- 回答期限が設定されているか
- 社内の処理フロー(エスカレーション含む)が整備されているか
- 対応記録が残されているか
- 窓口の周知がされているか
さらに、実効性を確認するためには、単なる確認にとどまらず、実際の処理が期限内に完了するかのシミュレーションを行うことが有効です。
よくある問題として、「窓口は存在するが実際の対応訓練が行われていない」ケースがあり、運用不備として指摘対象になります。
(4)委託先管理・第三者提供は適切か
委託先および第三者提供に関する管理は、外部リスク対策として重要です。
監査では、契約および運用の両面から確認します。
| 確認項目 | 主な内容 |
|---|---|
| 契約管理 | プライバシー条項、監査権、インシデント報告義務の有無 |
| 再委託管理 | 再委託の承認プロセス、サブプロセッサ管理 |
| アクセス管理 | 委託先がアクセスできる範囲の制御 |
| 監督状況 | 委託先の管理状況の記録・評価 |
| インシデント対応 | 事故発生時の報告・対応義務 |
特にクラウドサービス利用時は、データ保管国、越境移転の有無、サブプロセッサの管理状況などの点も重要となってきます。
(5)プライバシーリスクアセスメント(PIA)は機能しているか
PIAは、個人情報処理に伴うリスクを事前に特定し、低減するための重要な仕組みです。
監査では、「実施されているか」だけでなく、運用の有効性を確認します。
【確認ポイント】
- 新規サービス・システム変更時に事前実施されているか
- リスクが適切に特定されているか
- リスク低減策が実際の運用に反映されているか
- 定期的な見直しが行われているか
- 不十分なリスク評価のまま開始されていないか
特に以下の分野ではPIAの重要性が高まっています。
- AI活用
- 行動分析
- 位置情報の利用
監査員はPIA報告書を精査し、見落としがないかを確認します。
(6)法改正やGDPR等への対応状況は確認されているか
ISO27701は、国内外の法規制への適合を前提としています。
そのため、法改正への追従状況を確認することが不可欠です。
【主な対象】
- 個人情報保護法の改正
- GDPR
- CCPA
- 越境移転規制
- Cookie等のトラッキング規制
監査では、法令管理台帳、改正影響評価の記録、規程・ポリシーの改訂履歴、社内教育の実施記録などの証跡を確認します。特に、越境移転やCookie規制対応などは、コンプライアンス上の重要ポイントとして重点的に確認されます。
4.ISO27701の内部監査でよくある失敗と改善ポイント
(1)ISO27001(ISMS)の延長で監査してしまう
最も多い失敗は、ISO27001(ISMS)の延長として、セキュリティ対策中心の監査になってしまうことです。
例えば、「暗号化されているから問題ない」「アクセス制御があるから安全である」といった評価で終わってしまい、本人権利の確保、同意取得・管理の適切性、利用目的の妥当性、第三者提供の管理といったプライバシー特有の観点が十分に確認されないケースが発生します。
ISO27701では、「情報が守られているか」だけでなく、必要な人だけがアクセスできているか(Need-to-Know)、本人にとって不利益が生じない扱いになっているか、というプライバシー視点が不可欠です。
(2)規程と実運用にズレがある
規程上は整備されていても、実際の運用が追いついていないケースは非常に多く見られます。
【典型例】
- 「削除する」と規程にあるが、実際には削除されていない
- 「年1回教育」とあるが未実施
- 「同意取得」とあるが口頭で対応している
- 「PIAを実施する」とあるが、実際は事後的に記録している
このようなズレは、監査時に規程確認だけで終わると見逃されます。
そのため、以下のような実運用の確認が必要です。
- 実施日時(タイムスタンプ)の確認
- 実際の記録やログの確認
- 実務フローとの整合性確認
特に、PIAについては「実施のタイミング」が重要であり、事前評価になっているかを確認する必要があります。
(3)委託先管理が形骸化している
委託先管理は、契約締結のみで終わっているケースが多く、運用が形骸化しやすい領域です。
【よくある不十分な例】
- 契約締結のみで運用確認がない
- 年1回のアンケート回収のみで評価している
【本来確認すべき内容】
| 項目 | 内容 |
|---|---|
| 契約管理 | プライバシー条項、監査権、事故報告義務の有無 |
| 委託先管理 | 再委託の承認プロセス、サブプロセッサの把握 |
| 定期評価 | 定期的な評価や見直しの実施 |
| 実地確認 | 重要委託先に対する監査・訪問確認 |
| 認証状況 | ISMS/PIMS等の認証維持状況の確認 |
| インシデント対応 | 事故報告・対応フローの確認 |
特に、重要な個人情報を扱う委託先については、文書だけでなく実態確認が求められます。
(4)監査証跡が不足している
ISO27701では、「運用している」という説明だけでは不十分であり、客観的証跡が求められます。
【必要な主な証跡】
- 同意取得のログ
- 開示・削除請求の対応履歴
- 削除・廃棄の記録(廃棄証明書等)
- 委託先の評価記録
- PIAの実施記録
【不十分な例】
- 「口頭で確認した」
- 「担当者が判断している」
これらは監査証拠として成立しません。
監査では、「客観的に妥当性を証明できる記録」が提示されているかを確認します。
(5)プライバシー保護の観点を理解した監査員が不足している
ISO27001の経験がある監査員でも、プライバシー特有の観点に不慣れなケースは少なくありません。
【不足しがちな知識・視点】
- 個人情報保護法やGDPRなどの法規制理解
- 本人の権利(開示・削除・同意撤回等)
- 同意管理や利用目的の考え方
- プライバシーリスクの捉え方
情報セキュリティの視点だけでは、「本人にとっての不利益」を見抜くことができません。
そのため、監査員には、法規制に関する知識、プライバシーリスクに関する理解、実務フローの把握能力などの能力が求められます。また、ISO29100(プライバシーフレームワーク)などの知識を含めた教育・育成が重要となります。
5.まとめ
本記事では、ISO27701の内部監査について解説しました。要点を整理します。
ISO27701内部監査の基礎として、以下を解説しました。
- ISO27701は個人情報(PII)に特化した規格であり、「本人保護」が主目的であること
- ISMS監査との違いは、「情報を守る」から「適切に取り扱い、本人の権利を守る」へ視点が広がる点
- 監査では「規程の有無」ではなく、「運用の有効性」と「証跡による客観性」が重要であること
内部監査の進め方として、以下を整理しました。
- 個人情報のライフサイクルに基づき、部門横断で監査範囲を設定すること
- チェックリストは証跡確認を前提とした実運用型で設計すること
- ヒアリングと証拠確認により「説明と実態の一致」を検証すること
- 不適合は根本原因まで分析し、継続的改善につなげること
重点確認ポイントとして、以下を解説しました。
- 個人情報の取得・利用・削除が必要性・保管期間の観点で適切であること
- 同意取得やプライバシー通知が、適法かつ分かりやすく運用されていること
- 本人の権利対応(開示・削除等)が実際に機能していること
- 委託先管理や第三者提供が契約・運用の両面で管理されていること
- PIAが事前に実施され、リスク低減に活用されていること
- 法改正やGDPR等への対応が継続的に行われていること
よくある失敗と改善ポイントとして、以下を挙げました。
- ISO27001の延長で監査し、プライバシー視点が不足すること
- 規程と実運用のズレを見逃すこと
- 委託先管理が形骸化すること
- 証跡不足により監査の客観性が確保できないこと
- プライバシーや法規制を理解した監査員が不足していること
ISO27701内部監査では、「本人の視点」と「実運用の実効性」を重視した監査が求められます。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.