第661号コラム:佐藤 慶浩 副会長(オフィス四々十六 代表)
題:「国際規格ISO/IEC 27701~PIMS:プライバシー情報マネジメントシステム」
プライバシー対策に関わる国際規格としてISO/IEC 27701が、2019年8月に国際標準として発行されました。これは、ISMS(情報セキュリティマネジメントシステム)の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS(プライバシー情報マネジメントシステム)の構築を支援することを目的とした国際規格です。27701は、日本工業規格化はされていませんが、日本語対訳書が2020年3月に出版されています。
27701は、PIMSを構築するためのものですが、独立したマネジメントシステムではなく、ISMSによるマネジメントシステムの拡張として規定されています。
また、27701を基にしてISMSの審査及び認証を行う機関に対する要求事項の開発が2019年12月に開始され、2021年2月にISO/IEC 27006(情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項)のPart 2(PIMS)が技術標準として発行され、現在対訳書が準備中です。27006-2については、さらに内容を充実させるための国際標準化の審議が継続されています。
国内では、27701を基にしたISMS-PIMS認証が2020年12月から開始されており、既に認証を取得した組織もあります。
日本では、個人情報保護マネジメントシステムとしての日本工業規格として、JIS Q 15001が1999年に発行されています。こちらは、27701とは異なり、独立したマネジメントシステムとして規定されています。15001を基にした個人情報保護マネジメントシステムの認証としては、JIPDEC(一般財団法人日本情報経済社会推進協会)によるプライバシーマーク制度や、JAPiCO(一般社団法人日本個人情報管理協会)によるJAPiCOマーク制度などが普及しています。
27701と15001は、将来どちらか1つに統合されるものではなく、異なる2つのマネジメントシステムを構築するためにそれぞれ利用することができるものです。
15001の最新の改正は2017年に改正されましたが、この改正により、マネジメントシステムの要求事項は、ISMSの27001とほとんど同じになりました。異なるのは、管理目的と管理策の包括的なリストである附属書の内容と、それらを実施するための規範の内容になります。
27701の管理目的、管理策及び規範は、国際標準であるISO/IEC 29100(プライバシーフレームワーク)に基づいています。29100は、2017年にJIS X 9250として日本工業規格として発行されています。
15001の管理目的、管理策及び規範は、日本の個人情報保護法に基づいており、それに利用目的の事前同意取得(オプトイン)を求めるなどの要求事項を追加した内容になって
います。
国際標準が国内法と異なる点はいくつかありますが、その一つは、保護の考え方です。国内法では、その名のとおり個人情報を保護しようとします。たとえば、電話番号については、どういう状況なら電話番号が個人情報になるのかを考え、それに該当するなら保護します。他方、欧米では、電話番号は疑いなく個人情報とした上で、個人情報の利用を保護しようとします。たとえば、夜間に電話できる時間帯を制限したり、職場に個人の投資信託のセールス電話をかけたりすることは、プライバシーを侵害することとして保護します。つまり、電話番号を保護するのではなく、電話番号を使って電話することに制限をかけようとします。
プライバシー対策を個人情報保護対策と訳すとそれらの違いにとまどうかもしれませんが、上記の前者を個人情報保護対策、後者をプライバシー対策と区別して考えれば、わかりやすくなると思います。そのため、プライバシーを保護するという表現はあまりされず、プライバシーの尊重という表現をします。プライバシーを尊重するために、個人情報を保護するという建付けを欧米ではしており、国際標準はその考え方に基づいています。
国際標準と国内法の異なる点としては、PII管理者とPII処理者を区別することもあります。これについては、本IDFの第559号コラム「クラウド時代の情報管理:情報の管理者と処理者を区別することの重要性」で紹介しました。(※PII=Personally Identifiable Information)
その他にも、異なる点がありますが、27701の規格文書の構成については、解説動画として「[15分でわかる] ISO/IEC 27701 PIMS概要」を用意してあり、動画の概要欄には、規格開発経緯の説明を掲載していますので参考にしてください。
このように、組織が構築するマネジメントシステムで国際標準に合わせたいなら27701を、国内法に合わせたいなら15001を利用するという使い分けをすることができます。
【著作権は、佐藤氏に属します】