ISO27701規格解説 － 7.2.1、7.2.2、7.2.3

ここでは、ISO 27701管理策の解説をしていきます。
今回は、『7.2.1 目的の特定及び文書化』～『7.2.3 いつどのように同意を得るかの決定』まで解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

この管理策では、「PIIを処理する具体的な目的を特定し，文書化」しましょうと規定されています。
PII管理者とは、PIIを処理するための目的と手段を決定することができる立場のことをいいました。PII処理者がPII処理をする際には、PII管理者が決定した処理目的に縛られます。

PIIの処理により生じるプライバシーへの影響を考えるためには、そもそもPIIを何のために処理するのかが明確でなければ正確に判断できません。
また、各国の法令等で、PII処理をする際にPII主体による同意を得ること等を要件としていることが多いですが、同意が形式的ではなく実質的にあったといえるには、何に対する同意なのか明確である必要があります。そのための前提として、PII管理者がPIIの処理について具体的に目的を特定する必要があります。
一つのPIIに対する処理の目的は一つに限られませんので、文書化されていない他の利用目的がないかなども確認する必要があります。

なお、個人情報保護法では、15条1項で「個人情報を取り扱うにあたっては、その利用の目的をできる限り特定」するように定めており、内容的には、PII処理をする際に処理目的を具体的に定めるように要求する本管理策とほとんど同じことをいっています。では、どの程度まで具体化する必要があるのでしょうか。

規格では、「PII主体が自らのPII処理目的を理解することを確実に」する程度まで具体化する必要があるとしています（個人情報保護法にある「利用目的をできる限り特定する」という文言も似たような意味を指しています）。例えば、PIIの処理目的を「お客様のサービス向上のため」といった抽象的な文言にとどめたのでは足りず、「市場調査のアンケートに利用するため」や「お客様からのサービスに関する問い合わせに対応するため」といったように、自らの個人情報が何に使われるのか理解できるように記載する必要があります。
これも、PII主体が自己のPIIについて処理の同意を与えたり等の決定をする際にきちんと判断できるようにするためです。

このように、PII管理者にとって、まずはPIIの処理の目的を決定することがPIIを処理する上での出発点となります。

ここでは、「組織は特定された目的のために，PIIの処理に関連する適法な根拠を判断し，文書化し，順守」しましょうと規定されています。
PII処理の目的は7.1.1で特定した目的となります。PIIの処理に関しては、日本でいえば個人情報保護法、EU圏でいえばGDPRなど、様々な法令によって規制がされている場合があります。
そのため、行おうとしているPII処理が適法なのかについて確認して、例えばその処理のために「あらかじめ本人の同意」がいると法律で定められているのなら（例えば、個人情報保護法16条1項など）、事前に本人の同意を取得するなど、その法律を順守していくことが重要となってきます。

ここで注意が必要なのは、PIIに対する特定のPII処理であれば一律に同じ規制にかかるわけではないという点です。
例えば、子供のPIIであれば子ども自身の同意ではなく（又は別途）親権者の同意などが必要とされる場合があります。このように、そのPIIがどのような種類のものかによっても規制の法的根拠が変わってきますので、PIIのカテゴリも意識していく必要があります。

また、国や地域によっても、PIIのカテゴリに対する規制が変わってきます。
例えば、日本の個人情報保護法でいう「要配慮個人情報」の定義は、

• 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実
• 身体的、知的または精神的な障害
• 疾病の予防や早期発見のための健康診断の結果及びその改善のための指導等を受けた事実
• 刑事事件に関する手続きを受けた事実
• となります。これに類似する、GDPRの「特別な種類の個人データ」は、
• 人種的素性、民族的素性、政治的思想、宗教的信条、哲学的信条、労働組合員資格
• 遺伝データ、一意な識別を目的とした生体データ、健康に関するデータ、性生活または性的指向に関するデータ

と定義されます。このように、類似した概念であっても、国や地域が変われば、処理しようとしているPIIがその概念に含まれるか否か（＝規制にかかるものか否か）が変わってきます。

以上のように、PII処理に関する適法な根拠は、PIIの種類や適用される国・地域の法令等によって変わってくるので、自らの組織が処理しようとするPIIについて、その処理の根拠法令を明確にしておくことが重要となってきます。

この管理策では、PII処理についての同意を取得したこと、いつ取得したか、どのようにして取得したかについて、証明できるように、同意取得のプロセスを策定しそれを文書化しておくよう規定しています。

GDPRでは、PIIの処理に関してはPII主体の同意が要求される場面が多くあります。日本の個人情報保護法でも、GDPRほどではないですが、本人に重要な影響を及ぼすような類型では本人の同意が必要としている規定がいくつかあります。
このように、同意の取得がPII処理を行う上での適法な根拠となるケースがあるので、同意を得たことを証明できるような同意取得の工程を決めておくことが法令順守の観点でも重要となります。

また、同意の収集や記録の方法については、単にPII管理者側で好きに決めればいいのではなく、その方法も法令で規制されている場合があります。
例えば、GDPRでは同意を取得する際に明確で分かりやすい文言を用いて同意を得るようにしましょうという規定があったりします。個人情報保護法に関しても、未成年者から同意を得る際に、その未成年者が同意をした場合の結果に関して判断できる能力を有していないなどの場合には親権者の同意が必要となるといったようなことが個人情報保護法に関するガイドライン上で規定されています（GDPRでは、16歳未満の同意の場合は親権者による同意の承認が必要という規定となっています）。

このように、どのようなケースでどのように同意を得る必要があるかについて、従業員が都度判断することは困難なので、その同意取得の際のルールをマニュアルなどに定めておくことがコンプライアンスの観点からも役立ちます。