ISO27701規格解説 ー 6.1、6.2.1.1、6.3.1.1、6.3.2.1

ここでは、ISO27002に関連するPIMS固有の手引についてISO27701で特に追加・改定されている部分の解説をしていきます。
今回は、『6.1 一般』『6.2.1.1 情報セキュリティのための方針郡』『 6.3.1.1 情報セキュリティの役割及び責任』『6.3.2.1 モバイル機器の方針』を解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

ISO/IEC 27701はISO/IEC 27001に乗っかる形で構成されているアドオン規格なので、ISO/IEC 27701の本文とISO/IEC 27002の管理策に対して追加の項目が書かれています。そのうち、6章ではISO/IEC 27002の管理策に対して追加の実施の手引が書かれてます。

ISMSは「情報セキュリティ全般」が対象のマネジメントシステムだったのに対して、PIMSは「情報セキュリティ及びプライバシー」が対象となります。この管理策では、情報セキュリティのリスク + PII(個人情報)の処理に関するリスクを考慮して、必要な管理策を選択しましょうということが書かれています。

6.1で述べたとおりに、PIMSでは「情報セキュリティ及びプライバシー」を対象としています。よって、ISMS構築時に策定した「情報セキュリティ方針」のみでは、自社の「情報セキュリティ及びプライバシー」に対する理念や指針においては不十分です。

そこで、新しく「プライバシーポリシー」を策定するか、「情報セキュリティ方針」にプライバシー保護に関する内容を追記することが必要になります。「情報セキュリティ方針」には、適用されるPII保護の法令（日本では個人情報保護法）の順守について記載されていることも珍しくはないので、既存の「情報セキュリティ方針」がある組織は少し手を加えるだけで良い場合もあります。

この管理策では「情報セキュリティの役割及び責任」を「情報セキュリティ及びプライバシーの役割及び責任」へ、解釈を拡大させます。つまり、情報セキュリティとプライバシーってどういう役割をもっているのか、それらを保護するためにしなければいけないことはなにかを理解してルールを決めます。

具体的に実施すべきことは、PII処理者はPII管理者との窓口、PII管理者はPII主体との窓口といったように、顧客のための連絡窓口を用意します。これはPIIを扱う事業者としての責任であり役割でもありますね。

次に、組織自身がPIIの処理に関する法規制を確実に守れるように責任者を任命することが求められています。このような人を、GDPRなどの場合はデータ保護オフィサーと呼びますが、日本においては個人情報保護責任者と読んだほうがしっくりくるでしょうか。この責任者が実施することの例としては、以下のようなものがあります。
※基本的に、個人情報保護法に詳しい方を任命する方が良いです。

• PIIの処理に関する課題に取り組む
• 監督官庁へ個人情報に関するインシデント等を報告する
• 従業者にPII保護のためのルールを周知徹底する
• 組織が実施するプライバシー影響評価に関わる

イメージ的にはISMSにおける「情報セキュリティ管理者」のプライバシー保護版ですが、この役職は外部委託することが可能です。

ISO27002の管理策では、セキュリティを考慮したモバイル機器の使い方に関するルールについて書かれていました。具体的には、覗き見防止対策や紛失防止などの物理的な対策、ウイルス対策やデータの暗号化などのルールが挙げられます。それに加えてISO/IEC 27701では、モバイル機器の方針を策定する際に、個人情報が侵害されることにならないように考慮しましょうということが書かれています。

モバイル端末はデータの持ち運びが簡単にできますが、紛失や窃盗、画面を覗き見されるというリスクが存在します。個人情報は特に気をつけて守らなくてはいけない情報の一つですので、プライバシーを考慮したモバイル機器の使い方に関するルールを決めます。

具体的な対策はISMS構築時のルールと大きくは変わりません。例えば以下が挙げられます。

• 私物用と業務用で端末をわける
• 遠隔でデータを消去できる設定をする(リモートワイプ)
• ウイルス対策アプリを導入する
• 提供元不明なWi-Fiには接続しない

また、そもそもモバイル機器でPIIを取り扱わないといった対策も、モバイル機器の取扱いに関するルールとして有効です。

• モバイル端末内に個人情報を保存しない
• モバイル機器で個人情報に関するやり取りを行わない