基本の知識

ISO27701改訂で単独取得が可能に！変更点や改訂版への移行スケジュールを解説

HOME

ISMS

コラム一覧

基本の知識

ISO27701改訂で単独取得が可能に！変更点や改訂版への移行スケジュールを解説

2026年4月27日

1.ISO27701:2025改訂の背景：大幅な改訂が必要な理由
2.ISO27701:2025改訂における2つの大きな変更点
3.ISO27701改訂版への移行スケジュールと期限
4.【状況別】企業が取るべき対応方針と実務のポイント
5.認定機関（ISMS-AC）による公式発表の要点
6.まとめ

＼まずは話を聞いてみたい、という方へ／

お問合せ

＼自社に合わせた具体的な費用が知りたい方へ／

見積依頼

プライバシー情報保護の国際規格であるISO27701が、2025年10月に大きく改訂されました。

クラウドやAIの普及によるリスク増大や、世界的な法規制の整備に対応し、企業としてより強固な管理体制を構築する必要性が高まっているためです。

今回の改訂によって、従来のISMS（ISO27001）への依存から脱却し、単独で認証取得できる独立したマネジメントシステムへと進化するなど、実務にも影響を与える変更が加わりました。

この記事では、コンサルティング現場の知見をもとに、改訂による2つの大きな変更点や、2028年10月の移行期限に向けた具体的な対応のポイントを分かりやすく解説します。

1.ISO27701:2025改訂の背景：大幅な改訂が必要な理由

近年、クラウドサービスやAI技術の普及により、企業が扱う個人情報（プライバシー情報）の量は飛躍的に増加しました。

それに伴い、サイバー攻撃やデータ漏洩といったプライバシーリスクも高まっています。

さらに、EUのGDPR（一般データ保護規則）など、世界各国でプライバシーに関する法律や規制が整備されています。

企業は国境を越えたデータ移転において、より高度な管理体制を求められるようになりました。

こうした背景から、より強固なプライバシー情報マネジメントシステム（PIMS）を構築できるよう、2019年に発行された初版が見直され、2025年10月に改訂版（ISO/IEC 27701:2025）が発行されました。

2.ISO27701:2025改訂における2つの大きな変更点

今回の改訂では、規格の位置づけや文章の構成が大きく刷新されました。
ここでは2つの大きな変更点を解説します。

⑴PIMSがISMSから独立したマネジメントシステムに

2019年版のISO27701は、ISO27001（ISMS：情報セキュリティマネジメントシステム）の拡張規格という位置づけでした。

規格の条文構造もISO27001に依存していたため、PIMS単体ではPDCA（計画・実行・評価・改善）の運用サイクルを完結できない状態だったのです。

そのため、ISO27001を取得している企業でなければ、ISO27701は取得できませんでした。

しかし、適切なプライバシー情報管理が国際的にさらに重要視されるようになり、「情報セキュリティの単なる一分野」としてではなく、より独立性の高い専門的な枠組みとして扱う必要性が高まりました。

そこで今回の改訂によって、ISOの共通マネジメントシステム条項が追加され、PIMS単独で運用サイクルを回せる構成へと生まれ変わりました。
これにより、ISO27001を取得していない企業でも、ISO27701は単独で認証取得できる独立した規格へと進化したのです。

この位置づけの変化は、規格の名称にも表れています。

旧規格名: プライバシー情報マネジメントのための ISO/IEC 27001 および ISO/IEC 27002 への拡張
新規格名: 情報セキュリティ、サイバーセキュリティ、プライバシー保護 — プライバシー情報管理システム — 要求事項および指針

このように「拡張」という言葉が外れ、明確な一つのマネジメントシステムとして確立されました。

⑵附属書A・Bの構成変更と再編（MSS共通テキストへの準拠）

2つ目の大きな変更は、規格の全体構成が、ISOマネジメントシステム規格に共通する基本構造である「MSS共通テキスト」に準拠した形へと刷新されたことです。

これにより、ISO9001（品質）やISO14001（環境）、ISO27001（情報セキュリティ）など、他のマネジメントシステム規格との整合性が大きく向上しました。

すでに他のISO規格を運用している企業にとっては、運用体制や文書体系の統一がしやすくなり、管理プロセス全体の効率化が期待できます。

また、具体的な管理策（セキュリティ対策のルール）の記載箇所も大きく再編されています。
旧版（2019年版）では、以下の3つの場所に分かれて記載されていました。

箇条6: ISO27002に関連するPIMS固有のガイドライン（手引き）
附属書A: PII管理者向けの管理目的および管理策
附属書B: PII処理者向けの管理目的および管理策

2025年版では、これらが新しい「附属書A」にすべて整理・統合されています。

ここで実務上もっとも注意すべきなのは、旧版の「箇条6」の扱いの変化です。
以前の箇条6はあくまで「ガイドライン（手引き）」であり審査の直接的な対象外でしたが、2025年版では附属書Aに統合されたことで、明確な「要求事項」として順守が求められるようになります。

「要求事項が増えた」と聞くと大掛かりなマニュアル修正が必要に感じるかもしれませんが、ご安心ください。

新たに要求される管理策の内容自体に大きな変更はなく、そのほとんどは既存のISMSの管理策（セキュリティ対策）と重複しています。
そのため、文書体系や帳票の大幅な変更が求められるわけではなく、既存の対策でカバーできる部分が多いため、過度に構える必要はありません。

3.ISO27701改訂版への移行スケジュールと期限

すでにISO27701（2019年版）を取得している企業は、新しい2025年版への移行審査を受ける必要があります。

スケジュールを正しく把握し、計画的に準備を進めましょう。

⑴移行期間は2028年10月31日までの3年間

改訂版への移行期間は、規格発行月の月末である2025年10月31日から3年間と定められています。

つまり、2028年10月31日までに移行審査を完了させなければなりません。

移行審査は、毎年の定期審査や更新（再認証）審査のタイミングと併せて受審することが可能です。
通常の審査スケジュールに合わせることで、費用や対応の手間を抑えるのが一般的です。

⑵旧版（2019年版）での新規・再認証審査の期限は2027年5月1日まで

これから旧版（2019年版）で新規取得を目指す場合や、旧版のまま更新審査を受ける場合、2027年5月1日以降は審査を受けることできなくなります。
現在運用中の企業は、自社の次回の更新時期を確認し、早めに移行計画を立てることが重要です。

4.【状況別】企業が取るべき対応方針と実務のポイント

自社の状況に合わせてどのように対応を進めるべきか、コンサルティング現場での経験を踏まえたポイントを解説します。

⑴すでにISO27701を取得している企業の場合

まずは、既存のマニュアルと新規格（2025年版）の要求事項との差分（ギャップ）を確認します。
特に、附属書Aに再編された管理策に対して、現状のルールでカバーできているかを見直しましょう。
不足があれば手順を追加しますが、ISMS等ですでに対策済みのケースも多いです。

⑵これからISO27701の取得を検討する企業の場合

最初から2025年版の規格に沿って仕組みを構築します。独立した規格となったことで、プライバシー保護の体制構築のみに集中して単独取得できる点が大きなメリットです。社内リソースだけで進めるのが難しい場合は、「認証パートナー」のような専門サービスを活用することで、担当者様の負担を最小限に抑えつつ確実な取得を目指せます。

5.認定機関（ISMS-AC）による公式発表の要点

国内のISMS認定機関である一般社団法人情報マネジメントシステム認定センター（ISMS-AC）は、2025年10月の発行に際し、認証の位置づけの変化について重要なアナウンスを行いました。以下は、その公式発表からの引用です。

今回の改訂ではISO事務局におけるマネジメントシステム規格に関する方針により、ISO/IEC27701:2025は独立したマネジメントシステム規格となりました。この変更によって、認証の位置づけもISMS（ISO/IEC 27001）認証を前提としたISMS-PIMS認証から、ISMS認証を前提としない独立したPIMS認証となります。
引用：一般社団法人情報マネジメントシステム認定センター（ISMS-AC）

このように、ISMS認証の取得を前提とせず、単独でPIMS認証を取得できるようになった点は、プライバシー保護を重視する多くの企業にとって大きな転換点と言えます。