ISO27701規格解説 － 7.2.7、7.2.8

ここでは、ISO 27701管理策の解説をしていきます。
今回は、『7.2.7 共同PII管理者』～『7.2.8 PIIの処理に関連する記録』まで解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

この管理策では「共同PII管理者」と一緒にPII処理についてのお互いの役割・責任を決めましょうと定められています。

「共同PII管理者」の定義は、本規格の3.1で定義されていますが、簡単に説明すると、個人情報を共同で（委託などの関係ではなく）管理する場合を指します。要は、PII管理者が共同でPIIの処理目的と手段を決定するケースですが、日本（の個人情報保護法）では規定されていない概念ですのでイメージはしづらいかもしれません（GDPRでは、「共同して取扱いの目的及び方法を決定する場合」に「共同管理者」として、「それぞれの責任について、管理者の間での合意により、透明性のある態様で定める」といったように、本管理策に類似した規定がされています）。

PII管理者が共同で（=複数で）PIIを管理するとなると、それぞれの役割や責任があいまいになってくることが懸念されます。そのため、この管理策では、共同PII管理者との間で、各自がどのような役割を持つのか、どのような責任を持つのかをしっかりと決めていくことが重要となります。

この際、役割・責任を明確にするためにも、契約書の締結など、文書として定めておくことが重要となります。実施の手引には、その際に合意（共同PII管理者合意）に含むべき項目の例として、各PII管理者の特定、共有等されることになるPIIのカテゴリ、それぞれの役割や責任の説明、PII主体のための連絡窓口などを挙げています。

ここでは、「PIIの処理に関する自らの義務履行の助けとなる必要な記録」が何かを決め、それを作成・保管していくことを規定しています。

PIIの処理に対しては、様々な面からの法的規制があり、また、特に処理するPIIが多い場合には、PIIを都度、適切に処理していたとしても、時間がたてば過去に行ったPII処理が適切に行われたかを証明できなくなっていきます。
PIIの処理に対する記録を作成して、後で適法なPII処理であったことが証明できるようにしておくことは、PII管理者自身を守るためにも重要な対策となります。

まず行うことは、どんな記録を作成していくのかを決定することです。全てのPII処理に関係する活動を記録していくとなると記録の作成や保管が煩雑となり、通常業務を妨げることになりかねません。そこで、まずは「この記録はとっておく必要がある」という記録は何なのかを特定していくことが必要となります。
その観点としては、例えば、そもそも法律上作成が求められている記録類ですと作成は必須という判断になるでしょうし、PII処理に関する契約において間接的に必要となってくるケースもあるかと思います。