第761号コラム:佐藤 慶浩 理事(オフィス四々十六 代表)
題:「国際規格ISO/IEC 27701~PIMS:プライバシー情報マネジメントシステム(後編)」
デジタル・フォレンジック研究会第661号コラムで、プライバシー対策に関わる国際規格であるISO/IEC 27701の紹介をしました。本稿では、その続きを書きます。
27701は、ISMS(情報セキュリティマネジメントシステム)(https://isms.jp/isms/index.html)の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS(プライバシー情報マネジメントシステム)の構築を支援することを目的とした国際規格です。
日本語対訳書が2020年3月に出版されていましたが、このたび、JIS規格として国内規格になることになりました。草稿はできあがり最終的な出版の準備が進められています。
一方で、国際規格の27701は、27002規格が構成変更になったことを反映するための改訂を終えて、こちらも出版の最終準備段階にあります。
そのため、JIS 27701が出版されるときには、国際規格の27701が改訂されてしまいますが、国際規格の改訂は現状の考え方や内容が大きく変わるものではなく、構成変更なので実質的な問題はないと言えます。
話しをJIS 27701に戻すと、もともと対訳書がある国際規格がJIS化される場合には、基本的には対訳書を大きく変えることはありません。
しかし、国際規格の27701は、通常の単語の使われ方とは異なる定義語がいくつかあります。定義した単語なので、定義語だと割り切って、その単語の元の意味にこだわらずに読めばよいのですが、誤解しやすい規格文になっています。それらを概ね直訳した対訳書をそのままJIS規格にすると、日本語でも同様に、誤解しやすい規格文になってしまいます。
そこで、今回の」JIS 27701では、定義されている内容に見合うように定義語を書き換えることをしました。
たとえば、国際規格の「customer」を対訳書では「顧客」と訳してありますが、JIS規格では「取引先」と訳すことに変えました。この単語だけを並べてながめると、「customer」が「取引先」って邦訳がおかしいと思うかもしれませんが、国際規格での「customer」の定義内容を読むと、それが必ずしも「顧客」の意味ではないことがわかります。たとえば、「customer」の定義の中に委託先が含まれています。対訳書のままで「customer」を「顧客」と訳すと、「顧客」に委託先を含むと定義しているので、規格として間違えではないのですが、規格文を読むときに頭の中で、「顧客」には委託先も含まれていると言い聞かせながら読まなければならなくなります。そこで、JIS規格では「取引先」と訳しました。顧客のことを「取引先」と呼ぶことに違和感があるかもしれませんが、委託先を「顧客」と呼ぶことの違和感よりは、比べればましなのではないかということで、そのようにしました。
他にもあります。対訳書では「partner」を「取引相手」と訳していますが、JIS規格では「相手方」としました。これも、対訳書の方が英単語の訳としては正しいのですが、規格では「partner」に契約で遵守事項を守らせる相手のことを含めています。取引があれば「取引相手」で違和感はないのですが、単に守秘義務を守らせるだけの対象を「取引相手」と呼ぶよりは、単に「相手方」と呼ぶ方が、取引の有無とは関係ないということについて読みやすくなるために書き換えました。
この規格では、いわゆる個人情報のことをPII(Personally identifiable information)と呼びますが、これに関して難解とされている用語として、PII管理者とPII処理者があります。
用語だけからすると、PIIを管理する人がPII管理者で、PIIを処理する人がPII処理者と思ってしまいそうですが、そうではありません。
定義では、PII管理者はPIIの利用目的を決定する人で、PII処理者はPII管理者の指示に従ってPIIを処理する人となっています。そのため、PII管理者とPII処理者は、両者ともそれぞれの役割にそってPIIを管理し処理もします。
これらの用語を単語の意味合いからの誤解を避けて直感的に読めるようにするには、たとえば、PII利用目的決定者と、PII委託処理者などとすれば、管理と処理という単語にまどわされずに、わかりやすくなるかもしれません。
しかし、PII管理者とPII処理者という用語は、既に出版されているJIS X 9250(ISO/IEC 29100)で定義されているものなので、JIS 277071では従来どおりとしました。
以上のような背景で、JIS 27701規格の用語のいくつかを、あえて英単語とは異なる日本語にしましたので、規格を読むときの参考にしてみてください。
【著作権は、佐藤氏に属します】