第1回 プライバシー情報マネジメントシステムの国際規格ISO/IEC 27701の概要

■ISO/IEC 27701とは?

 ISO/IEC 27701は、ISO(国際標準化機構)より発行されましたプライバシー情報マネジメントに関する国際規格です。情報セキュリティのISO/IEC 27000ファミリー規格であり、正式名称を、「セキュリティ技術-プライバシー情報マネジメントのためのISO/IEC 27001及びISO /IEC 27002への拡張-要求事項及び指針」としています。すなわち、プライバシー情報マネジメントに関して、ISO/IEC 27001及びISO/IEC 27002への拡張という形で、プライバシー情報マネジメントシステム(PIMS)のPDCAを確立するための要求事項とその手引が規定されています。
 したがって、情報セキュリティマネジメントシステム規格であるISO/IEC 27001の仕組み(ISMS)に、このISO/IEC 27701の規格要求事項を追加することで、プライバシー情報マネジメントシステムを構築することができます。

■規格の発行の背景と特長

 各国のプライバシー規制において、個人情報に関するグローバル対応が重視され、各企業におけるプライバシー情報に対するリスクマネジメントをはじめとする、個人情報保護の取り組みに焦点があたるようになりました。そのような中で、ISO(国際標準化機構)によって、プライバシー情報マネジメントシステム(PIMS:Privacy information management system)に焦点を当てた、ISO/IEC 27000ファミリー規格として、ISO/IEC 27701が発行されました。
 なお、ISO/IEC 27701では、組織が重複した仕組みを構築することを防ぐため、あくまでも、ISO/IEC 27001の規格要求事項をベースとしており、新らたなマネジメントシステムのフレームワークを確立することを必要としません。すなわち、プライバシーデータの保護(個人データの保護)は、ISO/IEC 27001のリスクアセスメントやリスク対応プロセスがカバーし、プライバシーの保護(個人情報の保護)は、ISO/IEC 29001のプライバシー安全対策要件によってカバーさるという構造を持っています。

図表1 ISO/IEC 27701とは

■規格の対象となる組織

 ISO/IEC 27701の主要となる登場人物は、PII主体、PII管理者、PII処理者となります。
なお、PII主体は、個人情報の主体(本人)を指しており、PII管理者は、PII主体(個人情報の本人)から個人情報を取得し、利用(処理)する個人情報の取扱事業者を指します。また、PII処理者は、PII管理者等から個人情報及びその処理の委託を受ける事業者を指します。
 したがって、ISO/IEC 27701では、PII管理者とPII処理者のそれぞれの事業者を想定した規格要求事項(管理策)が規定されており、個人情報の本人から個人情報を直接取得し、利用(処理)する個人情報の取扱事業者と、PII管理者等から個人情報及びその処理の委託を受ける事業者が、この規格の対象となります。

図表2 ISO/IEC 27701の登場人物

■規格の構成

ISO/IEC 27701は、以下の8つの箇条と、附属書(A ~ F)で構成されています。

  • 箇条1 適用範囲
  • 箇条2 引用規格
  • 箇条3 用語、定義及び略語
  • 箇条4 一般
  • 箇条5 ISO/IEC 27001に関連するPIMS固有の要求
  • 箇条6 ISO/IEC 27002に関連するPIMS固有の手引
  • 箇条7 PII管理者のためのISO/IEC 27002の追加の手引
  • 箇条8 PII処理者のためのISO /IEC 27002の追加の手引

 なお、箇条4 一般では、以下について説明しており、具体的な内容は、箇条5 ISO/IEC 27001に関連するPIMS固有の要求からとなっています。

  • 規格の構成
  • ISO/IEC 27001:2013要求事項の適用
  • ISO/IEC 27002:2013指針の適用
  • 顧客

 また、附属書は、2つの規定(Normative)と4つの参考(Informative)で構成されており、附属書Aと附属書Bの2つの規定(Normative)が規格要求事項(管理策)となっています。
 附属書C ~附属書Fの4つの参考(Informative)は、この規格を理解するための参考資料となっています。

■PII管理者に関連する規格の項目

 II管理者に関する規格の内容は、規格本文の箇条7 PII管理者のためのISO/IEC 27002の追加の手引附属書A(規定)PIMS固有の参照管理目的及び管理策(PII管理者)なっています。
 なお、附属書A(規定)PIMS固有の参照管理目的及び管理策(PII管理者)が認証する際の規格要求事項となっており、箇条7 PII管理者のためのISO/IEC 27002の追加の手引が、附属書Aを実現する際の解説(手引き)となっています。

■PII処理者に関連する規格の項目

 PII処理者に関する規格の内容は、規格本文の箇条8 PII処理者のためのISO/IEC 27002の追加の手引附属書B(規定)PIMS固有の参照管理目的及び管理策(PII処理者)となります。
 なお、附属書B(規定)PIMS固有の参照管理目的及び管理策(PII処理者)が認証する際の規格要求事項となっており、箇条8 PII処理者のためのISO/IEC 27002の追加の手引が、附属書Bを実現する際の解説(手引き)となっています。

図表3 ISO/IEC 27701の規格の構成

 この規格の利点は、プライバシーマークのJIS Q 15001と違い、PII管理者又はPII処理者として、満たすべき規格要求事項がそれぞれに明確に分かれており、また、それぞれで認証取得が可能な点です。

 次回のコラムでは、より詳しく規格の内容を解説します。