2023年3月20日 (月)

国際規格ISO/IEC 27701プライバシー情報マネジメントシステムのJIS化

1635471iso27701

プライバシー対策に関わる国際規格であるISO/IEC 27701が、JIS化されて発行されますので紹介します。

日本語対訳書が2020年3月に出版されていましたが、このたび、JIS規格として国内規格になることになりました。

草稿はできあがり最終的な出版の準備が進められています。(2023年3月現在)

ISO/IEC 27701とは

ISO/IEC 27701は、ISMS(情報セキュリティマネジメントシステム)の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS(プライバシー情報マネジメントシステム)の構築を支援することを目的とした国際規格です。

27701の開発経緯は、ブログ「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」で紹介しています。

27701と国内規格や個人情報保護法との違いなどは、ブログ「国際規格ISO/IEC 27701プライバシー情報マネジメントシステムと国内規格や個人情報保護法との違い」で紹介しています。

国際規格の27701は、ISO/IEC 27002規格が構成変更になったことを反映するための改訂を終えて、出版の最終準備段階にあります。(2023年3月現在)

そのため、JIS 27701が出版されるときには、国際規格の27701が改訂されていることになりますが、国際規格の改訂は現状の考え方や内容が大きく変わるものではなく、27002の構成変更に対応するための改訂なので実質的な問題はないと言えます。

ISO/IEC 27701の対訳書の課題

話しをJIS 27701に戻すと、もともと対訳書がある国際規格がJIS化される場合には、基本的には対訳書を大きく変えることはありません。

しかし、国際規格の27701は、通常の単語の使われ方とは異なる定義語がいくつかあります。定義した単語なので、定義語だと割り切って、その単語の元の意味にこだわらずに読めばよいのですが、誤解しやすい規格文になっています。

それらを概ね直訳した対訳書をそのままJIS規格にすると、日本語でも同様に、誤解しやすい規格文になってしまいます。

ISO/IEC 27701のJIS化での用語の見直し

そこで、今回のJIS 27701では、定義されている内容に見合うように定義語を書き換えました。

たとえば、国際規格の「customer」を対訳書では「顧客」と訳してありますが、JIS規格では「取引先」と訳すことに変えました。
この単語の訳だけを見ると、「customer」の訳が「取引先」って日本語訳がおかしいと思うかもしれませんが、国際規格での「customer」の定義内容を読むと、それが必ずしも「顧客」だけの意味ではないことがわかります。

たとえば、「customer」の定義の中に委託先が含まれています。
規格として委託先を含むと定義しているので、委託先を「顧客」と呼ぶことは規格として間違えではありません。
しかし、規格文を読むときに頭の中で、「顧客には委託先も含まれている」 と言い聞かせながら読まなければならなくなります。

そこで、JIS規格では「取引先」と訳しました。顧客のことを「取引先」と呼ぶことに違和感があるかもしれませんが、委託先を「顧客」と呼ぶことの違和感よりは、比べればましなのではないかということで、そのようにしました。

他にもあります。対訳書では「partner」を「取引相手」と訳していますが、JIS規格では「相手方」としました。
規格では、取引のある相手のことだけではなく、遵守事項を守らせる契約をしただけの相手のことも「partner」としています

取引があれば「取引相手」で違和感はないのですが、単に守秘義務の誓約書を交わすだけの対象を「取引相手」と呼ぶよりは、単に「相手方」と呼ぶ方が、取引の有無とは関係ないということについて読みやすくなるために書き換えました。

これらは、私が27701規格の対訳書を理解するためのコンサルティングで、「規格文に書いてある顧客を取引先のこと、取引相手を単に相手方と読み替えるとわかりやすくなりますよ。」と説明していたものが採用されました。後から思ったのは、コンサルティングのネタの1つがなくなってしまうので、ちょっと惜しいことをしたかなと後悔していたりもします。(笑)

コンサルティングで説明していることには、他にもあります。 

この規格では、いわゆる個人情報のことをPII(Personally identifiable information)と呼びますが、これに付随した用語で難解とされているものに、PII管理者とPII処理者があります。

用語だけからすると、PIIを管理する人がPII管理者で、PIIを処理する人がPII処理者と思ってしまいそうですが、そうではありません。

定義では、PII管理者はPIIの利用目的を決定する人で、PII処理者はPII管理者の指示に従ってPIIを処理する人となっています。そのため、PII管理者とPII処理者は、両者ともそれぞれの役割にそってPIIを管理し処理もします。

これらの用語を単語の意味合いからの誤解を避けて直感的に読めるようにするには、たとえば、PII利用目的決定者と、PII委託処理者などとすれば、管理と処理という単語にまどわされずに、わかりやすくなるかもしれません。

しかし、PII管理者とPII処理者という用語は、既に出版されているJIS X 9250(ISO/IEC 29100)で定義されているものなので、JIS 277071でも変えずに直訳したままにしました。(決して、コンサルティングのネタが惜しくなって、わかりにくいまま残したのではありません。笑)

 

以上のような背景で、JIS 27701規格の用語のいくつかを、あえて英単語とは異なる日本語にしましたので、規格を読むときの参考にしてください。

3月 20, 2023 | | コメント (0)

2022年7月21日 (木)

米国データプライバシー及び保護法の討議草案

275751_m_20220721125101

米国データプライバシー及び保護法の討議草案が2022年6月3日に公表されました。

HOUSE AND SENATE LEADERS RELEASE BIPARTISAN DISCUSSION DRAFT OF COMPREHENSIVE DATA PRIVACY BILL
上記のページに草案について法条文と各章解説文が公開されています。

米国における同法の最初の草案が出されたのは2010年なので、かれこれ12年は出ては消え、出ては消えしている法案です。
第1案については、我輩は連邦プライバシー法である。まだ名は無い・・・
第2案については、米国連邦プライバシー法-第2案

の各記事で紹介してあります。

その後しばらく間が開いて、今回のものは通算で第4案となります。

この第4案については、上記法案の修正案(AMENDMENT IN THE NATURE OF A SUBSTITUTE TO H.R. 8152)が2022年7月20日の下院エネルギー・商業委員会にて、賛成53対反対2で賛成され、下院本会議での審議に進めることが決まりました。
法案が下院本会議で採決がはかられることになるところまで進んだのは第4案が初めてのことになります。

いまの時期に検討されているのは、2023年1月に施行されるCPRA(California Privacy Rights Act)の施行が関係していると思います。CPRAはGDPRより厳しい事項も含む規制となっており、ご興味あれば、こちらから記事を参照できます。

Enjn4vqvoamxvzj
事業者にとっては、カリフォルニア州の市民だけを区別して事業をするのは現実的ではなく、州法が乱立するよりは、むしろ連邦法による規制の方が対応しやすいと考える事業者も多くいることになります。

では、本題の今回公開された草案の話しに戻ります。

草案の法条文と各章解説文について邦訳をしておきました。
米国データプライバシー及び保護法案(2022年版)邦訳

どちらも、DeepLによる機械翻訳をもとにしていますが、各章解説文については査読して手直ししてあります。法条文については、対象データの定義文などのごく一部だけ手直ししてありますが、ほとんどの部分は機械翻訳のままです。
ここでは邦訳した内容をもとに紹介したいと思います。

まず、法案名ですが、American data privacy and protection actなので、データプライバシー及び保護法となります。プライバシーの保護ではなく、プライバシー及び保護となっているので、意味としては、データプライバシー及びデータ保護に関する法律ということになります。
データ保護は日本法における安全管理措置に相当します。そのデータ保護をデータプライバシーの一部とするのではなく、法律名に列挙していることになります。

法律名にはデータとありますが、本法で対象とするデータは、対象データ(Covered data)として定義されています。

まずは、討議草案を紹介し、その後に下院委員会での修正案を紹介します。


「対象データ」という用語は、個人または一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイスを、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。ただし、以下を含まない。非識別加工されたデータ、従業員データ、または公開されている情報。

原文
(A) IN GENERAL.—
The term "covered data" means information that identifies or is linked or reasonably linkable to an individual or a device that identifies or is linked or reasonably linkable to 1 or more individuals, including derived data and unique identifiers.
(B) EXCLUSIONS.—
The term “covered data” does not include—
(i) de-identified data;
(ii) employee data; or
(iii) publicly available information.

前段の部分の包含関係がわかりにくいので「」を付けてくくってみます。


「対象データ」という用語は、「個人」または「一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイス」を、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。

となります。“識別する、リンクされる、または合理的にリンク可能な”を“識別等する”として置き換えて、列記した形式に言い換えると、以下のようにまとめることができます。


「対象データ」という用語は、
(1)個人を識別等する情報、または、(2)一人以上の個人を識別等するデバイスを識別等する情報
を意味し、派生データおよび固有の識別子を含む。

これが、以下のとおり下院委員会で修正されました。


「対象データ」という用語は、単独又は他の情報と組み合わせて、個人または個人を識別する、個人にリンクされる、もしくは合理的にリンク可能なデバイスを、識別する、リンクされる、または合理的にリンク可能な情報をいい、派生データおよび固有の持続的識別子を含み得る。ただし、以下を含まない。非識別加工されたデータ、従業員データ、公開されている情報、または複数の、独立しており、個人に関するセンシティブな対象データを明らかにしない、公開されている情報源だけから作成された推察。

原文
(8) COVERED DATA.—
(A) IN GENERAL.—
The term "covered data" means information that identifies or is linked or reasonably linkable, alone or in combination with other information, to an individual or a device that identifies or is linked or reasonably linkable to an individual, and may include derived data and unique persistent identifiers.
(B) EXCLUSIONS.—
The term "covered data" does not include—
(i) de-identified data;
(ii) employee data;
(iii) publicly available information; or
(iv) inferences made exclusively from multiple independent sources of publicly available information that do not reveal sensitive covered data with respect to an individual.

討議草案と同様の手順で以下のようにまとめることができます。討議草案からの修正箇所を赤色文字で示します。

「対象データ」という用語は、単独又は他の情報と組み合わせて、
(1)個人を識別等する情報、または、(2)一人以上の個人を識別等するデバイスを識別等する情報
を意味し、派生データおよび固有の持続的識別子を含み得る

対象データの除外事項として、従業員データがあります。
これも法案で定義がされていますが、端的に言うと、事業者が雇用のために必要最小限なことを除外してあります。これによって、ほとんどの事業者は、従業員のデータについて個別に利用目的などを作文する必要がなくなります。逆に言うと、雇用のための最小限ではない利用をする事業者だけが、それを対象データとして取り扱う必要があり、従業者にとっては、そのような利用の存在があった場合に認識しやすくなります。

対象データの除外事項については、討議草案に対して修正案で以下のものが追加されています。

複数の、独立しており、個人に関するセンシティブな対象データを明らかにしない、公開されている情報源だけから作成された推察

法案で特徴的な概念としては、「affirmative express consent」があります。機械翻訳では、「積極的な明示的同意」と訳されましたが、各章解説文の邦訳では、あえて「アファーマティブ・エクスプレス・コンセント」とカタカナにして目立たせておきました。

expressは従来でいうexplicitに相当しており、明示的な同意を求めるものです。いわゆる、デフォルト・オンの禁止=デフォルトでは同意をオフにしておきなさいというものです。これは、同意したつもりがないのに同意したとみなされることがあってはならないということです。とはいえ、デフォルトがオフ(不同意)であっても、書いてあることを読まずに本人がオン(同意)を選択してしまうことは、従来から起こりえます。そのため本当に同意していたのかを形式的に判断することには限界がありました。

一方で、内容をちゃんと確認した上で、不本意ではあるけれど同意するしかないという課題があります。
たとえば、何かのサービスを利用するにあたって、個人情報の利用目的に対して納得はいかないけれど、そのサービスを利用するには、同意するしかないから、同意の選択をせざるを得ないという場合です。この問題は、明示的同意では解決されません。
それに対処するためのものが、affirmative(積極的な)同意というものです。端的に言うと、不同意を選択できる状況での同意を求めるものです。
先の例でいれば、同意しないのならサービスを利用できないとした状況で得る同意はaffirmative同意を得たことにならないことになります。なんらかの利用目的に不同意をしてもサービスが利用できるようになっていれば、affirmative同意を得たことになります。

アファーマティブ・エクスプレス・コンセントは従来よりも厳しい条件となりますが、法案において、すべての同意についてそれを求めてはおらず、重要な同意が必要なときに限っての条件としています。
しかし、この同意条件が明文化されたことにより、重要でない同意ならばアファーマティブではなくてもよいのか?とう議論が始まるかもしれません。なぜなら、アファーマティブではないということは、不本意な同意ということですから、それはそもそも同意なのか?という議論になるかもしれません。

明示的な同意については、それが明示的なものかを外形的に判断できるのに対して、アファーマティブについては、同意内容の書き方によって抜け道はありそうです。これについては、本法がFTC法(連邦取引委員会法)に建てつけられることから、書き方でごまかそうとした場合には、従来からあるFTC法第5条における欺瞞的行為として罰することで抑止するのだと思います。

いずれにしても、今回の法案が4度目の正直で制定されるのかどうかに注目したいと思います。

 

7月 21, 2022 | | コメント (0)

2022年6月 8日 (水)

米国データプライバシー及び保護法案(2022年版)邦訳

米国データプライバシー保護法の討議草案が公表されましたね。
HOUSE AND SENATE LEADERS RELEASE BIPARTISAN DISCUSSION DRAFT OF COMPREHENSIVE DATA PRIVACY BILL

とりあえず、日本語に翻訳しておきましたので、Googleドライブからダウンロードしてお使いください。

実際には、American data privacy and protection actなので、「データプライバシー及び保護」ではなく、日本語としては「データプライバシー及びデータ保護」ですが、長くなるので米国データプライバシー及び保護法としてあります。

翻訳に修正が必要な箇所があれば随時更新しますので、こちらのコメントに書いていただけると幸いです。

2022年7月22日追記:
本法案の修正案(AMENDMENT IN THE NATURE OF A SUBSTITUTE TO H.R. 8152)が、7月20日の下院エネルギー・商業委員会にて、賛成53対反対2で賛成され、下院本会議での審議に進めることが決まりました。

6月 8, 2022 | | コメント (0)

2021年5月 7日 (金)

国際規格ISO/IEC 27701プライバシー情報マネジメントシステムと国内規格や個人情報保護法との違い

1635338iso27701  

 プライバシー対策に関わる国際規格としてISO/IEC 27701が、2019年8月に国際標準として発行されました。この規格について紹介します。

ISO/IEC 27701とは

 これは、ISMS(情報セキュリティマネジメントシステム)の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS(プライバシー情報マネジメントシステム)の構築を支援することを目的とした国際規格です。27701は、日本工業規格化はされていませんが、日本語対訳書が2020年3月に出版されています。

 27701は、PIMSを構築するためのものですが、独立したマネジメントシステムではなく、ISMSによるマネジメントシステムの拡張として規定されています。

 また、27701を基にしてISMSの審査及び認証を行う機関に対する要求事項の開発が2019年12月に開始され、2021年2月にISO/IEC 27006(情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項)のPart 2(PIMS)が技術標準として発行され、現在対訳書が準備中です。27006-2については、さらに内容を充実させるための国際標準化の審議が継続されています。

 国内では、27701を基にしたISMS-PIMS認証が2020年12月から開始されており、既に認証を取得した組織もあります。

27701と15001の位置付け

 日本では、個人情報保護マネジメントシステムとしての日本工業規格として、JIS Q 15001が1999年に発行されています。こちらは、27701とは異なり、独立したマネジメントシステムとして規定されています。15001を基にした個人情報保護マネジメントシステムの認証としては、JIPDEC(一般財団法人日本情報経済社会推進協会)によるプライバシーマーク制度や、JAPiCO(一般社団法人日本個人情報管理協会)によるJAPiCOマーク制度などが普及しています。

 27701と15001は、将来どちらか1つに統合されるものではなく、異なる2つのマネジメントシステムを構築するためにそれぞれ利用することができるものです。

 15001の最新の改正は2017年に改正されましたが、この改正により、マネジメントシステムの要求事項は、ISMSの27001とほとんど同じになりました。異なるのは、管理目的と管理策の包括的なリストである附属書の内容と、それらを実施するための規範の内容になります。

 27701の管理目的、管理策及び規範は、国際標準であるISO/IEC 29100(プライバシーフレームワーク)に基づいています。29100は、対応する日本工業規格が2017年にJIS X 9250として発行されています。

 15001の管理目的、管理策及び規範は、日本の個人情報保護法に基づいており、それに利用目的の事前同意取得(オプトイン)を求めるなどの要求事項を追加した内容になっています。

 国際標準と国内法の違い

 国際標準が国内法と異なる点はいくつかありますが、その一つは、保護の考え方です。国内法では、その名のとおり個人情報を保護しようとします。たとえば、電話番号については、どういう状況なら電話番号が個人情報になるのかを考え、それに該当するなら保護します。他方、欧米では、電話番号は疑いなく個人情報とした上で、個人情報の利用を保護しようとします。たとえば、夜間に電話できる時間帯を制限したり、職場に個人の投資信託のセールス電話をかけたりすることは、プライバシーを侵害することとして保護します。しかし、職場の電話番号に職場で必要な事務用品のセールス電話をかけることはプライバシーの侵害としません。つまり、電話番号が何かではなく、電話番号を使って何をするかに制限をかけようとします。 これについて詳しくは、以下のコラムで紹介しています。

 プライバシー対策を個人情報保護対策と訳して考えてしまうと、それらに違いがあることにとまどうかもしれませんが、上記の前者を個人情報保護対策、後者をプライバシー対策と区別して考えれば、わかりやすくなると思います。実際にも、個人情報保護を英訳すれば、protection of personal informationあるいはpersonal information protectionであり、privacy protectionではありません。そのため、プライバシーを保護するという表現はあまりされず、プライバシーの尊重(respect for privacy)という表現をします。プライバシーを尊重するために、個人情報を保護するという建付けを欧米ではしており、国際標準はその考え方に基づいています。

 国際標準と国内法の異なる点としては、PII管理者とPII処理者を区別することもあります。(PII:Personally Identifiable Information)これについては、以下のコラムで紹介しています。

 その他にも、異なる点がありますが、27701の規格文書の構成については、解説動画としてまとめてあります。

 規格の開発経緯は、以下の記事で紹介しています。

 27701と15001の使い分け

 以上のように、組織が構築するマネジメントシステムで国際標準に合わせたいなら27701を、国内法に合わせたいなら15001を利用するという使い分けをすることができます。

5月 7, 2021 | | コメント (0)