2021年5月 7日 (金)

国際規格ISO/IEC 27701プライバシー情報マネジメントシステムと国内規格や個人情報保護法との違い

1635338iso27701  

 プライバシー対策に関わる国際規格としてISO/IEC 27701が、2019年8月に国際標準として発行されました。この規格について紹介します。

ISO/IEC 27701とは

 これは、ISMS(情報セキュリティマネジメントシステム)の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS(プライバシー情報マネジメントシステム)の構築を支援することを目的とした国際規格です。27701は、日本工業規格化はされていませんが、日本語対訳書が2020年3月に出版されています。

 27701は、PIMSを構築するためのものですが、独立したマネジメントシステムではなく、ISMSによるマネジメントシステムの拡張として規定されています。

 また、27701を基にしてISMSの審査及び認証を行う機関に対する要求事項の開発が2019年12月に開始され、2021年2月にISO/IEC 27006(情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項)のPart 2(PIMS)が技術標準として発行され、現在対訳書が準備中です。27006-2については、さらに内容を充実させるための国際標準化の審議が継続されています。

 国内では、27701を基にしたISMS-PIMS認証が2020年12月から開始されており、既に認証を取得した組織もあります。

27701と15001の位置付け

 日本では、個人情報保護マネジメントシステムとしての日本工業規格として、JIS Q 15001が1999年に発行されています。こちらは、27701とは異なり、独立したマネジメントシステムとして規定されています。15001を基にした個人情報保護マネジメントシステムの認証としては、JIPDEC(一般財団法人日本情報経済社会推進協会)によるプライバシーマーク制度や、JAPiCO(一般社団法人日本個人情報管理協会)によるJAPiCOマーク制度などが普及しています。

 27701と15001は、将来どちらか1つに統合されるものではなく、異なる2つのマネジメントシステムを構築するためにそれぞれ利用することができるものです。

 15001の最新の改正は2017年に改正されましたが、この改正により、マネジメントシステムの要求事項は、ISMSの27001とほとんど同じになりました。異なるのは、管理目的と管理策の包括的なリストである附属書の内容と、それらを実施するための規範の内容になります。

 27701の管理目的、管理策及び規範は、国際標準であるISO/IEC 29100(プライバシーフレームワーク)に基づいています。29100は、対応する日本工業規格が2017年にJIS X 9250として発行されています。

 15001の管理目的、管理策及び規範は、日本の個人情報保護法に基づいており、それに利用目的の事前同意取得(オプトイン)を求めるなどの要求事項を追加した内容になっています。

 国際標準と国内法の違い

 国際標準が国内法と異なる点はいくつかありますが、その一つは、保護の考え方です。国内法では、その名のとおり個人情報を保護しようとします。たとえば、電話番号については、どういう状況なら電話番号が個人情報になるのかを考え、それに該当するなら保護します。他方、欧米では、電話番号は疑いなく個人情報とした上で、個人情報の利用を保護しようとします。たとえば、夜間に電話できる時間帯を制限したり、職場に個人の投資信託のセールス電話をかけたりすることは、プライバシーを侵害することとして保護します。しかし、職場の電話番号に職場で必要な事務用品のセールス電話をかけることはプライバシーの侵害としません。つまり、電話番号が何かではなく、電話番号を使って何をするかに制限をかけようとします。 これについて詳しくは、以下のコラムで紹介しています。

 プライバシー対策を個人情報保護対策と訳して考えてしまうと、それらに違いがあることにとまどうかもしれませんが、上記の前者を個人情報保護対策、後者をプライバシー対策と区別して考えれば、わかりやすくなると思います。実際にも、個人情報保護を英訳すれば、protection of personal informationあるいはpersonal information protectionであり、privacy protectionではありません。そのため、プライバシーを保護するという表現はあまりされず、プライバシーの尊重(respect for privacy)という表現をします。プライバシーを尊重するために、個人情報を保護するという建付けを欧米ではしており、国際標準はその考え方に基づいています。

 国際標準と国内法の異なる点としては、PII管理者とPII処理者を区別することもあります。(PII:Personally Identifiable Information)これについては、以下のコラムで紹介しています。

 その他にも、異なる点がありますが、27701の規格文書の構成については、解説動画としてまとめてあります。

 規格の開発経緯は、以下の記事で紹介しています。

 27701と15001の使い分け

 以上のように、組織が構築するマネジメントシステムで国際標準に合わせたいなら27701を、国内法に合わせたいなら15001を利用するという使い分けをすることができます。

5月 7, 2021 | | コメント (0)