プライバシー保護の国際規格 ISO/IEC 27701とは?


プライバシー保護の国際規格であるISO/IEC 27701:2019は、ガイドライン規格であり認証規格でもあります。単独認証では使えず、あくまでISO/IEC 27001のアドオン認証となります。GDPR対応として活用できることから、グローバル企業におけるプライバシー保護対応のツールとして注目されています。ISO/IEC JTC1/SC27/WG5にエキスパートとして参加した佐藤慶浩氏からお話をききました。

ISO/IEC 27701はISO/IEC 27001に追加されて使用される



−ISO/IEC 27701はプライバシー保護に関する要求事項でありガイドラインでもあります。この規格はISO/IEC 27001と27002の拡張という位置付けがされていますが、実際にはISO/IEC 27001認証の中でどのような使われ方をされるのでしょうか。



ISO/IEC 27701はISO/IEC 27001と27002に対する拡張規格として発行されました。ISO/IEC 27001は情報セキュリティマネジメントシステム(ISMS)要求事項の規格であり、ISMS認証の基準となる規格です。ISO/IEC 27701は、ISO/IEC 27001への追記事項を記述したものなので、単独で認証基準として使うものではなく、ISMS認証を受ける中で拡張審査に使うことが考えられます。

もともと個人情報保護に関する国際規格としては、ISO/IEC 27002(情報セキュリティ管理策の実践のための規範)の拡張規格としてISO/IEC 29151(個人を特定できる情報保護のための実施標準)がありますので、現時点でもISO/IEC 27001+ISO/IEC 29151で個人情報保護のためのマネジメントシステムを構築することは可能です。ただ、ISO/IEC 27002の拡張としてのISO/IEC 29151では、管理策対応だけなので、個人情報保護への対応としては不十分ではないか、やはりリスクマネジメントを扱うISO/IEC 27001についても拡張が必要ではないか、という議論が行われて開発されたのが、ISO/IEC 27701なのです。

ISO/IEC 27701のタイトルの表記は、Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information managementとなっています。つまり、ISO/IEC 27001とISO/IEC 27002の両方の拡張なのです。当初は、ISO/IEC 27002への拡張としてすでにISO/IEC 29151があったので、ISO/IEC 27001への拡張としての規格を開発するという選択肢もあったのですが、そうするとユーザーは参照する規格が増えるし、規格を開発する側も各規格との整合を取る作業が大変なので、1個の規格でISO/IEC 27001とISO/IEC 27002の両方に対応できるようにしたのです。

では、実際にどういう使われ方をするのかというと、個人情報も情報セキュリティマネジメントの対象としてISO/IEC 27001を基準としたISMS認証を取得している企業が、その拡張としてISO/IEC 27701を追加するというのが一番自然な使われ方だと思います。ISO/IEC 27701は、ISO/IEC 27001とISO/IEC 27002の規格を参照した上で、そこに追加部分だけを書いた内容になっています。なぜそのような構造になっているかというと、追加部分だけが書いてあって、元の部分は、ISO/IEC 27001とISO/IEC 27002の規格書を参照することで、ISO/IEC 27701によって、ISO/IEC 27001とISO/IEC 27002には変更がなく、従来のISMSと同じものとして読むことができるようにするためです。

ただ、ISMSを構築していない組織が、ゼロから個人情報保護に取り組むために、ISO/IEC 27701をマネジメントシステム規格として利用することはあまりないと考えられています。現状では、ISO/IEC 27701は拡張規格なので、組織はISO/IEC 27001とISO/IEC 27002に対応できていることが前提になっています。そのため、個人情報保護だけをやりたい組織にとっては、ゼロからISO/IEC 27701に取り組もうとすると、個人情報保護以外のセキュリティ対策までやらなければならなくなるので、対象範囲がやりたいことよりも広くなり、規格としての需要がそれほど見込めないからです。




ISO/IEC 27001は情報セキュリティ、ISO/IEC 27701はプライバシーが対象



−ISO/IEC 27701の特徴について、ISO/IEC 27001との比較、JIS Q 15001との比較の中で説明していただけますか。



ISO/IEC 27001はISMSの規格ですが、ISO/IEC 27701はPIMSの規格です。PIMSというのは、Privacy Information Management Systemの略称です。ISO/IEC 27701の中に出て来るPIMSの定義は「PII(個人を特定できる情報)の処理により潜在的に影響を受けるプライバシーの保護に取り組む情報セキュリティマネジメントシステム」(information security management system which addresses the protection of privacy as potentially affected by the processing of PII〈Personally Identifiable Information〉)と書かれています。つまり、この規格で管理の対象になっているのは、personal informationではなく、privacyなのです。ISMSですと、組織が扱うすべての情報に関して、セキュリティの観点で管理します。一方、PIMSですと、組織が扱う情報の中の個人情報に該当する部分に関して、プライバシーの観点で管理します。両者の関係を図で表すとこのようになります。

日本のJIS Q 15001(個人情報保護マネジメントシステム)は、保護の対象が個人情報です。一方、ISO/IEC 27701の保護の対象はプライバシーです。両者は似て非なるものです。

個人情報というのは、概ね「個人を特定できる情報を含む情報」のことです。JIS Q 15001は、個人情報保護法の改正に合わせて改訂されています。個人情報は、取り扱われる状態によって必要な保護の程度が変わって来ますので、個人情報保護法では個人情報を段階化しています。まず、個人を特定する情報を含む情報として「個人情報」がありますが、それが、例えば検索できるように体系化されると「個人データ」になり、さらに個人データが6カ月以上保管されると「保有個人データ」になります。ある情報があって、その内容が変わるわけではないのに、呼び方が「個人情報」「個人データ」「保有個人データ」と変わっていくのです。出世魚で言えば、魚のブリは同じなのに、ワカシ(ツバス)→イナダ(ハマチ)→ワラサ(メジロ)→ブリと呼び名が変わるようなものです。このように定義を状態に合わせて分けることで、各状態において個人情報保護の要求事項が段階的になるようにしているのです。同様に匿名加工情報があり、現在はさらに仮名化データについても改正案を検討中で、個人情報の定義にさらにもう一枠を設けるような議論が行われています。つまり、個人情報の定義が複雑になり始めているのです。

このような日本の動きに比べ、ISO/IEC 27701は、あくまでも個人情報をプライバシーの観点で保護するための規格ですから、個人情報の定義は細分化せずに、日本の個人情報保護法における個人情報の定義に相当するところだけで終わっています。規格自体も、個人情報の取り扱い方によって、プライバシーの観点から懸念のあるものに対しては保護するという構造になっています。

ですから、個人情報の観点から保護したいのか、プライバシーの観点から保護したいのかによって、JIS Q 15001かISO/IEC 27701かを選ぶことができると思います。

ISO/IEC 27701はプライバシー保護の観点で規格が書かれていますが、これは欧米の発想であり、個人情報を保護するという法律を作っているのは、おそらく日本と韓国くらいでしょう。それ以外のほとんどの国の法律は、保護の目的はプライバシーです。日本の個人情報保護法は、個人の権利・利益を保護するためと書いているものの、個人情報そのものを保護するという運用がされているように思われます。

欧米の考え方に合わせたいというのなら、ISO/IEC 27701の方が、相性がいいでしょう。ですが、ISO/IEC 27701では、日本のように細かい個人情報の定義、例えば個人情報と保有個人データの区別などはしていません。なぜなら、ISO/IEC 27701は、個人情報を細分化して段階的に保護するのではなく、その情報が取り扱われた時にプライバシーの侵害があれば保護しなければならないという発想なので、個人情報を細かく定義する必要がないのです。

法律へのコンプライアンスとしてなら、グローバルにビジネスを展開している会社であればISO/IEC 27701とJIS Q 15001の両方を使うという手もあるでしょうし、国内だけでビジネスを行っている会社ならJIS Q 15001だけを使うという選択肢もあるでしょうから、ISO/IEC 27701の発行によって、コンプライアンス対応として規格の選択肢が増えたと考えるべきでしょう。

(この記事はアイソス2020年5月号から抜粋したものです)


執筆者: 佐藤 慶浩 氏

オフィス四々十六 代表。一般財団法人日本情報経済社会推進協会 客員研究員。ISO/IECのJTC1/SC27 (情報セキュリティ技術)で長年エキスパートを務める。SC27/WG1ではISO/IEC 27002の初期(2001年)開発から参加。その後SC27のWG5(アイデンティティ管理とプライバシー技術)設立時には主査を務める。現在はWG5にのみ参加。JIS Q 15001改正時には原案作成委員会委員を務めた。