個人情報保護に関する第三者認証の取得を検討する際、プライバシーマークが候補にあがると思いますが、プライバシーマークは全社を適用範囲とし、社員の個人情報など全ての個人情報を保護対象とする必要があることなどで「認証取得・維持の壁」を感じることもあると思います。
また、プライバシーマークの「認証取得・維持の壁」により、情報セキュリティマネジメント規格であるISO/IEC27001(ISMS)の認証の取得を選択したものの、個人情報保護について物足りなさを感じることもあると思います。
上記のような思いをいただいている場合は、「ISO/IEC27701認証」の取得をご検討されてはいかがでしょうか。
ISO/IEC27701とは
ISO/IEC27701(以下、ISO27701)は、2019年に発行されたISO27000ファミリーのひとつで「セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002の拡張」というタイトルが付けられています。
ISO27701の保護対象となる情報単位は、PII(Personally Identifiable Information/個人識別可能情報)と呼ばれ、概ね①本人を識別し得る情報、②本人に直接または間接的に紐づけられる情報とされており、ISO/IEC 27001における情報資産と同様に、組織は保護対象とするPIIを特定する必要があります。また、PIIを取り扱う立場として、管理主体を指す「PII管理者」、管理主体の委託先等を指す「PII処理者」が示されています。
ISO27701の要求事項や管理策としては、(1)PII保護の観点によりISO/IEC 27001及びISO/IEC 27002の要求事項や管理策に追加されたものがあり、また、(2)「PII管理者」と「PII処理者」にそれぞれ固有の管理策が示されています。これら固有の管理策は、OECDプライバシー8原則を元に定められたプライバシーフレームワークであるISO/IEC29100に即した内容となっています。
ISO27701の管理策への対応
ISO27701の要求事項等のうち、(1)PII保護の観点によりISO/IEC 27001及びISO/IEC 27002の要求事項や管理策に追加されたものついては、ISO/IEC 27001において保護対象である情報資産に個人情報も含まれ得ることやPII保護の管理策もあることから、概ね対応できていると思われますが、差分への対応、特に以下については留意が必要です。
- ● 保護対象とするPIIに適用される法令、規制等を特定し、遵守するために対応する
- ● リスクアセスメントについて、プライバシーリスクを考慮する
- ● システム開発において、プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルトの原則を適用する
また、(2)「PII管理者」と「PII処理者」のそれぞれ固有の管理策については、保護対象のPIIの取り扱い場面において、自社が「PII管理者」や「PII処理者」のいずれの立場になるのかを整理しつつ、対応する必要があります。固有の管理策には下表のような管理策があります。
| 管理策の分類 | 「PII管理者」の管理策 (全31管理策) | 「PII処理者」の管理策 (全18管理策) |
|---|---|---|
| 収集及び 処理の条件 | ・目的の特定及び文書化 ・適法な根拠の特定 ・いつどのように同意を得るかの決定 ・同意の取得及び記録 ・プライバシー影響評価 ・PII処理者との契約 ・共同PII管理者 ・PIIの処理に関連する記録 | ・顧客の同意 ・組織の目的 ・マーケティング及び広告のための使用 ・侵害的指示 ・顧客の義務 ・PIIの処理に関連する記録 |
| PII主体に 対する義務 | ・PII主体に対する義務の決定及び履行 ・PII主体のための情報の決定 ・PII主体への情報提供 ・同意を変更又は撤回するための仕組みの提供 ・PIIの処理に対する異議申し立ての仕組みの提供 ・アクセス、修正及び/又は消去 ・第三者に通知するPII管理者の義務 ・処理されるPIIの複製の提供 ・要請の処理 ・自動化された意思決定 | ・PII主体に対する義務 |
| プライバシー・ バイ・デザイン 及び プライバシー・ バイ・デフォルト | ・処理制限 ・正確性及び品質 ・PII最小化目標 ・処理終了時のPIIの非識別化及び削除 ・一時ファイル ・保持 ・処分 ・PIIの送信の管理策 | ・一時ファイル ・PIIの返却、移転又は処分 ・PIIの送信の管理策 |
| PIIの保有、 移転及び開示 | ・収集制限 ・法域間でのPII移転の根拠の特定 ・PIIの移転が可能な国及び国際的な組織 ・PII移転の記録 ・第三者へのPII開示の記録 | ・法域間でのPII移転の根拠 ・PIIの移転が可能な国及び国際的な組織 ・第三者へのPII開示の記録 ・PII開示要請の通知 ・法的拘束力のあるPII開示 ・PIIの処理に使用する下請負者の開示 ・PIIを処理する下請負者の関与 ・PIIを処理する下請負者の変更 |
ISO27701を導入するメリット・デメリット
ISO27701は、適用されるPIIが関係する法律や規制等を特定し、プライバシーリスクに対応し、適切な取り扱いをするためのフレームワークであるため、これに則ることでPIIの適切な取り扱いを実現しやすくなります。プライバシーマークと異なり、外国の個人情報保護法規制にも適用し得ます。
ただし、適用されるPIIが関係する法律や規制等については、自らそれらを特定し、その内容を精査し、必要な対応をする必要がある点には注意が必要です。つまり、ISO27701は日本や外国の個人情報保護法規制に適用し得るものの、ISO27701に準拠(ISO/IEC27701認証を取得)してもそれらの法規制を遵守していることにはなりません。
ISO27701認証の取得
ISO/IEC27701認証は、ISO27701の要求事項等に対応し、それらを満たすことを審査機関による審査で認められた場合に取得できます。認証の名称は、「ISMS-PIMS(アイエスエムエス-ピムス)」です。
ISO/IEC27701認証は、それ単独では取得できず、前提としてISO/IEC 27001認証の適用範囲内において取得できます。ただし、保護対象とするPIIの取り扱い組織がISO/IEC 27001認証の適用範囲外であった場合、ISO/IEC27701認証を取得するためには当該組織をISO/IEC 27001認証の適用範囲とする必要がある点に注意が必要です。
ISO/IEC27701認証に関する審査については、その分の審査工数が追加されます。具体的な金額は適用範囲、審査会社により異なるため、審査会社にお問い合わせください。
ISO/IEC27701認証の有効期限は、ISO/IEC 27001と同じ有効期限になり、同タイミングで維持審査、更新審査を受ける必要があります。
ISO27701(認証)とISO27018(認証)の違い
ISO27000ファミリには、もうひとつPII保護のための規格があります。ISO/IEC27018(情報技術-セキュリティ技術-PIIプロセッサとして作動するパブリッククラウドにおける個人識別情報(PII)の保護のための実施基準)です。
これは、クラウドサービス事業者向けにパブリッククラウド上のPII保護に関する規格で、その内容は、ISO27701と同じく、OECDプライバシー8原則を元に定められたプライバシーフレームワークであるISO/IEC29100に即した内容となっています。
ISO/IEC27701とISO/IEC27018の違いは適用し得る対象事業者や範囲にあり、特に、ISO/IEC 27018はクラウドサービス事業者のパブリッククラウド上に限定されている点が、ISO/IEC 27701との大きな違いです。
そのため両規格の関係性としては、ISO/IEC27701はISO/IEC27018を内包しているとも言えます。
また、認証制度にも違いがあります。
いずれも認証制度はあり、前提としてISO/IEC 27001認証の適用範囲内において認証取得ができる点は同じですが、日本においては、ISO/IEC27701認証制度がISO/IEC 27001認証と同様にISMS-ACによる制度※であるのに対し、ISO/IEC27018は審査機関が独自に設けている制度(プライベート認証)です。
※ISMS-ACは、審査機関(認証機関)を認定する認定機関で、各国の認定機関と連携し認証制度の信頼性の維持向上を図っています。
まとめ:どんな企業にISO27701認証はおすすめか?
ISO27701は、ISO/IEC 27001による情報セキュリティマネジメントシステムに、OECDプライバシー8原則の観点による個人情報保護の要素を取り入れることができ、日本だけでなく外国の個人情報保護法規制への対応を容易にします。
また、ISO/IEC27701の認証制度は、ISMS-ACによる制度であり、対外的に信頼性を示すことができます。
情報セキュリティに加え、個人情報保護に課題を感じている場合、特に外国の個人情報保護法規制への対応を要している場合には、ISO/IEC27701への対応、認証取得をおすすめします。
弊社でもISO/IEC27701認証の取得支援が可能ですので、取得をご希望の場合は是非弊社にご相談ください。
