情報セキュリティ

ISO/IEC27701 プライバシー情報マネジメントシステム(PIMS)

1. データプライバシーの現在

個人情報セキュリティ対策の脆弱性とリスクが取沙汰されています。一部の国際空港では顔認証システムを用い、保安検査や出入国手続きの時間を大幅に短縮しています。インターネット通販の市場規模は、2010年から2020年までの間に2倍以上に拡大しています。
テクノロジーの進化により、我々の生活は便利で快適になりましたが、それと引き換えに、スマートフォンの位置情報やPC内の識別情報など、日々の生活の中で、個人情報は当たり前に追跡され、広告などに利用される時代となりました。

2. 各国で強まる規制の動き

そういった動きにいち早く対応したのが、GDPR(EU一般データ保護規則)です。GDPRとはGeneral Data Protection Regulationの略で、EUにおける新しい個人情報保護の枠組みとして、1995年に適用されたEUデータ保護指令に代わって、企業による個人データの処理と移転を規制するものとして、2018年5月に施行されました。
それに追従する形で、2018年、米国カルフォルニア州で消費者プライバシー法(CCPA)が可決。インドでは同年個人データ保護法案(PDPB)が提出されました。2020年には日本で個人情報保護法改正案が可決され、ブラジルでは2021年にブラジル一般データ保護規則(LGPD)が施行されます(*)。

(*) LGPDは新型コロナウイルスの影響で、2020年から2021年に施行日を延期

21世紀初頭まで、個人情報の保護は、特に重要視されていませんでしたが、2020年の世界では、個人情報の保護なくして社会活動なし、と言わんばかりに規制が新設され、企業・組織・団体はもうそれらを無視することはできません。

3. ISO/IEC27701の発行

2019年、ISO/IEC27701(プライバシー情報マネジメントシステム;PIMS)という規格が新たに発行されました。これは既に広く普及しているISO/IEC27001(情報セキュリティマネジメントシステム;ISMS)の拡張規格で、ISO27001認証の中で拡張認証をすることを目的とした国際標準です。

プライバシー情報マネジメントシステムとは、“PIIの処理によって影響を受ける可能性があるプライバシー保護に対処する、情報セキュリティマネジメントシステム”と定義されています(ISO/IEC27701規格 3.2)

PII(Personally Identifiable Information)とは、日本語では個人識別可能情報と訳され、ISO/IEC29100にて、「その情報に関連するPII主体(=PIIに関連する個人)を識別するために利用され得る情報」あるいは「PII主体に直接若しくは間接に紐づけられるか又はその可能性がある情報」と定義されています。

簡潔に表現するならば、ISO/IEC27701は、個人を識別できる情報や、個人に紐づけられている情報の扱いに関するセキュリティマネジメントシステムです。
ISO/IEC27701では、付属書Dとして、PIMSにより拡張された管理策とGDPR(EU一般データ保護規則)の要求事項との対比(規格内では対応付けと表記)を提供しています。先に挙げたとおり、世界各国が個人情報保護のための規制を敷いていますが、それらのほとんどはGDPRに追従する形を取っています。
国や地域によって現状の規制は異なりますが、GDPRを主軸とし、グローバルに認知された国際標準(ISO)のフレームワークを活用することで、組織の個人データ管理体制をより強固なものとします。

データプライバシーマネジメント
Bureau Veritas Global – Whitepaper “TACKLING DATA PRIVACY WITH ISO 27701”より

4. 日本国内の動向

こういった国内外の動向をふまえて、2020年8月、経済産業省より「DX時代における企業のプライバシーガバナンスガイドブック ver1.0」が公表されました。これは、経済産業省と総務省が、新たな事業にチャレンジしようとする企業がプライバシーガバナンスの構築のために取り組むべきことを整理したものです。デジタルトランスフォーメーション(DX)が進められるなか、「プライバシー」に対する姿勢や考え方が変容し、企業や組織はそれをコンプライアンスコストと捉えるのではなく、重要な経営戦略の一環として体制を構築する必要があります。

“変化のスピードが速い時代において、法令等遵守だけでは、リスク管理や、社会から信頼を得るにあたり、十分な対応とはいえない。このため、企業は法令等遵守(コンプライ)を当然の前提としながらも、消費者やステークホルダーとのコミュニケーションを積極的にとり、能動的にプライバシー問題へ対応することが必要である。さらに、社会に対して積極的にそれを開示して説明(エクスプレイン)し、ステークホルダーとの対話を通じて、信頼を確保していく、コンプライ・アンド・エクスプレイン型への組織的な転換が求められているといえよう”

引用:経済産業省「DX時代における企業のプライバシーガバナンスガイドブック ver1.0

イノベーションが生活を豊かにする反面、 プライバシー保護の範囲を拡大する
引用 図:経済産業省「DX時代における企業のプライバシーガバナンスガイドブック ver1.0

5. ビューローベリタスが世界初のISO27701認証

2020年1月、ビューローベリタスが、世界で初めてISO27701認証書を発行しました。

インフォシス社 プレスリリース
「インフォシス、ISO27701認証を取得 ―世界初、データ・プライバシー認証を取得―」

加速するデジタルトランスフォーメーションのなかで、我々を取り巻く環境は日々刻々と変化していきます。価値のある情報を管理し利用することは、同時にそれを守る義務が発生するということでもあります。ISO/IEC 27001およびISO/IEC 27701の認証を取得することは、組織の信頼性を高め、事業の継続性をより一層強固なものとします。

ビューローベリタスジャパン株式会社 システム認証事業本部 営業部  鈴木 雄大

 


【お問い合わせ】
ビューローベリタスジャパン(株) システム認証事業本部 営業部
E-MAIL
TEL:045-651-4785 FAX:045-641-4330
お問い合わせフォーム

【ビューローベリタスのサービス】
エンタープライズリスク