ISO27701規格解説 － 7.2.4、7.2.5、7.2.6

ここでは、ISO 27701管理策の解説をしていきます。
今回は、『7.2.4 同意の取得及び記録』～『7.2.6 PII処理者との契約』まで解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

この管理策では、PII主体からのPII処理についての同意を得ること、及びPII主体から同意を得ていることを記録することが要求されています。

記録としては、同意がいつ得られたか、同意の対象となるPII情報や同意をした旨などの詳細を記録します。また、PII主体から、同意したことを証明するものを提供するように要求されるなどした際に提供できるように記録しましょうと書かれています。

「同意」については、何かしらの形式的な同意さえあればいいわけではありません。
例えば、同意をしなかったら不利益を生じさせるなどと伝えて任意性なく同意を得ても、それは本人の自由な意思による同意とは言えません。また、例えば同意取得の際に「同意します」としたチェックボックスにあらかじめチェックを入れておいたり、明確に同意しないといっていないことを同意したとみなすといったことは、明示的な同意とはいえません。

なお、本管理策の実施の手引で書かれている同意の要件（「自由に与えられ」「処理の目的に関して具体的である」「不明瞭でなく明示的である」）は、GDPRで定められている規定と対応しています。

プライバシー影響評価とは、簡単にいうとPII処理を実施する前の段階で事前に、行おうとしているPII処理によってどのようにPII主体のプライバシーに対する影響が生じるかを評価するというものです。

この管理策では、PII処理をする際には毎回必ずプライバシー影響評価をするように言っているわけではなく「新しいPII処理や既存のPII処理の変更」が計画されている場合に、プライバシー影響評価をする必要があるかどうかを検討し、必要と判断された場合にプライバシー影響評価をしましょうと規定しています。

これまで行っていないことを新たに始めたり、これまで行っていた方法と手順が変わったりするなどした場合、これまでとは別のリスクが生じる可能性があります。
PII処理は、PII主体のプライバシー情報という重要な情報を扱い、健康情報などPII情報の種類によっては漏えいしてしまうと取り返しのつかないものもあります。そのため、新しいPII処理を計画しているなどの場合に、前もってプライバシーに対してどのような影響が生じるかしっかりと検討する必要がないかを確認することが重要となってきます。

組織として、例えば新しく始めるPII処理は大したPIIを扱わないため事前にプライバシー影響評価まではする必要ないと判断するかもしれませんし、扱うPIIの件数が多くなるためプライバシー影響評価をしておこうという判断になるかもしれません。どちらの判断になるにせよ、漫然と新たなPII処理を始めたり、変更したりといったことの無いように注意しましょうというのがこの管理策の意図するところです。

プライバシー影響評価が必要かどうかの判断の物差しとして、実施の手引では、下記の場合はプライバシー評価が必要と判断する方向に傾くといったようなことが書かれています。

これら3つはGDPRに規定されている個人データ保護影響評価（27701でいうプライバシー影響評価と同じと考えて大丈夫です）が必要な場合と一致します。

①PII主体に法的影響を及ぼす自動化された意思決定

例えば、「年齢・性別・勤め先企業」といった個人に紐づけられたデータをもとに、AIなどが自動で返済能力を判断して、ローンを組んだりといった場合があります。このような場合には、PII主体としては意見を述べる機会なく勝手に決められるので、プライバシーへの影響の度合いが高い、となります。

②PIIの特別なカテゴリの大規模な処理

例えば、宗教という機微なプライバシー情報などを大量に扱う場合にはそれを漏えい等した際の影響が大きくなるので、事前にプライバシー影響評価をする必要性が高まるということになります。このように、プライバシー影響評価が必要となる可能性が高い類型が実施の手引で定められているということになります。

③公衆がアクセス可能な場所で大規模におこなわれるシステムによる監視

例えば、防犯カメラを公共スペースである歩道等にむけて録画し、監視する場合が挙げられます。
このような場合には、本来誰でも自由に行き来できるスペースでの活動を心理的に制限等されうるため、プライバシーへの影響があると考えられ、プライバシー影響評価をする必要性がでてくる可能性があります。

「PII処理者」に該当するのは、個人情報の取り扱いを委託する委託先とイメージして頂けると分かりやすいかと思います。本管理策では、PII管理者がPII処理者に対して、PIIの処理に関して契約をする際にどのようにすればいいかが書かれています。
この管理策でいわれているのは、PII処理者とは「書面で契約」することと、その際のPII処理者の契約上の義務についてを検討する際にはISO27701規格の附属書Bにある適切な管理策を考慮することです。

附属書Bは本規格のうち、PII処理者のための管理策が記載された部分になります。つまり、PII管理者がPII処理者とPII処理の契約する場合には、相手方（PII処理者）に対して、PII処理者としてPIMSを構築するとしたら必要となる管理策について実施されるように、契約条項に組み込むことが必要となります。

これは、PII処理を委託する場合、PII管理者側で本規格に基づいたPIMSを構築していたとしても、委託先のPII処理者がそのようなプライバシー情報保護体制を構築していないとすると、PII管理者としてのPIMS体制構築・運用をしている意味がないためです。
これに対し、PII処理者が本規格の管理策に準拠していると言える場合には、本管理策の目的とするPIMSの体制が担保できており、適切な保護体制が維持できていると考えられます。

また、本管理策の実施の手引では、基本的には「デフォルトで、附属書Bのすべての管理策が関連することを前提」とするようにといっています。そのため、PII処理者固有の管理策のうち、「この管理策は今回のPII処理契約では全く関係ない」と除外が正当化されるもの以外は、全て契約上の義務として入れ込んでいくことが必要となります（実施の手引では、除外した場合は「除外の正当性の理由を示す」というような規定になっています）。