ISO/IEC 27701、PIMSとは

takahashi
高橋 昌志 記事一覧
カテゴリー: ISO27701,

2019年8月に、ISO/IEC 27701というISO規格が新たに発行されました。

今回は、このISO/IEC 27701という規格(以下、本稿において単に「PIMS規格」と表記します)がどういったものなのか見ていきたいと思います。

PIMS規格とは

PIMS規格は、プライバシー情報マネジメントシステム(PIMS)についての規格です。プライバシー情報マネジメントシステムとは、「PIIの処理によって影響を受ける可能性があるプライバシー保護に対処する、情報セキュリティマネジメントシステム」と定義されています(PIMS規格3.2)。

これまでの情報セキュリティマネジメントシステム(ISMS)についての規格であるISO/IEC 27001:2013(以下、本稿において単に「ISMS規格」と表記します)は、情報セキュリティ全般を対象としていました。そのため、プライバシー情報に関するセキュリティも保護の対象とはなっていました。しかし、プライバシー情報の保護に特化したものではなかったため、組織によってプライバシー情報に関するルールの程度はまちまちでした。

これに対して、PIMS規格は、ISMS規格の拡張(ISO/IEC 27002への拡張も含む)という形でプライバシー情報の保護に関するルールの構築等について規定しています。

「『PIIの処理』によって影響を受ける可能性のある『プライバシー』」とは

PIMSの対象である「PIIの処理によって影響を受ける可能性があるプライバシー」とは何を指すのでしょうか。

PIIの定義は、別の規格(ISO/IEC29100)で定義されています。

そこでは、PII(Personally Identifiable Information:個人識別可能情報)とは、「その情報に関連するPII主体(=PIIに関連する個人)を識別するために利用され得る情報」又は「PII主体に直接若しくは間接に紐づけられるか又はその可能性がある情報」と定義されています(ISO/IEC 29100:2017 2.9)。

つまり、個人を識別できる情報や、個人に紐づけられている情報がPII情報となり、これは、個人情報保護法の「個人情報」(当該情報に含まれる・・・記述等により特定の個人を識別することができるもの、個人識別符号が含まれるもの)とほとんど同じと考えていいかと思います(もっとも、個人情報保護法では「生存する個人」に限られています)。

また、「PIIの処理」については、「PIIに対して実施される操作または一連の操作」と定義されており、例としては「PIIの収集、保管、変更、修正・・・」などが示されています(ISO/IEC29100:2017 2.23)。つまり、個人情報を取り扱う業務の全てが対象となるイメージです。

プライバシー(privacy)とは、個人の私生活等を他人に知られない・干渉されない権利といった意味合いがあります。

例えば、「Aさんが〇月〇日に××というサービスを利用した」という情報があったとします。Aさんからするとこの情報は他人から知られたくないかもしれません。それにもかかわらず、勝手にこの情報を収集・保管されていたとしたら、Aさんのプライバシーが守られているとは言えなくなります。これが、「PIIの処理によって影響を受ける可能性があるプライバシー」のイメージです。

おわりに

いかがでしたでしょうか。以上のようなプライバシー情報を保護するために、組織の情報セキュリティルールを構築・運用していくのが、PIMSであり、そのための枠組みを示した規格が、ISO/IEC 27701となります。

2019年に新しく発行されたばかりの規格ですが、個人情報の取扱いに関する消費者意識は国内のみならず世界的にも高まっています。今後も引き続きISO/IEC 27701の規格に関する記事をあげていきますので、興味を持たれた際にはご一読ください。

ISO/IEC 27701、PIMSとは

カテゴリー: ISO27701

2019年8月に、ISO/IEC 27701というISO規格が新たに発行されました。

今回は、このISO/IEC 27701という規格(以下、本稿において単に「PIMS規格」と表記します)がどういったものなのか見ていきたいと思います。

PIMS規格とは

PIMS規格は、プライバシー情報マネジメントシステム(PIMS)についての規格です。プライバシー情報マネジメントシステムとは、「PIIの処理によって影響を受ける可能性があるプライバシー保護に対処する、情報セキュリティマネジメントシステム」と定義されています(PIMS規格3.2)。

これまでの情報セキュリティマネジメントシステム(ISMS)についての規格であるISO/IEC 27001:2013(以下、本稿において単に「ISMS規格」と表記します)は、情報セキュリティ全般を対象としていました。そのため、プライバシー情報に関するセキュリティも保護の対象とはなっていました。しかし、プライバシー情報の保護に特化したものではなかったため、組織によってプライバシー情報に関するルールの程度はまちまちでした。

これに対して、PIMS規格は、ISMS規格の拡張(ISO/IEC 27002への拡張も含む)という形でプライバシー情報の保護に関するルールの構築等について規定しています。

「『PIIの処理』によって影響を受ける可能性のある『プライバシー』」とは

PIMSの対象である「PIIの処理によって影響を受ける可能性があるプライバシー」とは何を指すのでしょうか。

PIIの定義は、別の規格(ISO/IEC29100)で定義されています。

そこでは、PII(Personally Identifiable Information:個人識別可能情報)とは、「その情報に関連するPII主体(=PIIに関連する個人)を識別するために利用され得る情報」又は「PII主体に直接若しくは間接に紐づけられるか又はその可能性がある情報」と定義されています(ISO/IEC 29100:2017 2.9)。

つまり、個人を識別できる情報や、個人に紐づけられている情報がPII情報となり、これは、個人情報保護法の「個人情報」(当該情報に含まれる・・・記述等により特定の個人を識別することができるもの、個人識別符号が含まれるもの)とほとんど同じと考えていいかと思います(もっとも、個人情報保護法では「生存する個人」に限られています)。

また、「PIIの処理」については、「PIIに対して実施される操作または一連の操作」と定義されており、例としては「PIIの収集、保管、変更、修正・・・」などが示されています(ISO/IEC29100:2017 2.23)。つまり、個人情報を取り扱う業務の全てが対象となるイメージです。

プライバシー(privacy)とは、個人の私生活等を他人に知られない・干渉されない権利といった意味合いがあります。

例えば、「Aさんが〇月〇日に××というサービスを利用した」という情報があったとします。Aさんからするとこの情報は他人から知られたくないかもしれません。それにもかかわらず、勝手にこの情報を収集・保管されていたとしたら、Aさんのプライバシーが守られているとは言えなくなります。これが、「PIIの処理によって影響を受ける可能性があるプライバシー」のイメージです。

おわりに

いかがでしたでしょうか。以上のようなプライバシー情報を保護するために、組織の情報セキュリティルールを構築・運用していくのが、PIMSであり、そのための枠組みを示した規格が、ISO/IEC 27701となります。

2019年に新しく発行されたばかりの規格ですが、個人情報の取扱いに関する消費者意識は国内のみならず世界的にも高まっています。今後も引き続きISO/IEC 27701の規格に関する記事をあげていきますので、興味を持たれた際にはご一読ください。

Author: 高橋 昌志
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする