ISO27701規格解説 ー 8.2.1、8.2.2

ここでは、ISO/IEC27701のうち、第8章の「PII処理者のためのISO/IEC27002の追加の手引」について解説をしていきます。
今回は、『8.2.1 顧客の合意』『8.2.2 組織の目的』までを解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

組織は、適切な場合には、PIIを処理するための契約が、顧客の義務を支援する組織の役割を果たすことを確実にすることが望ましい(処理の性質及び組織が利用できる情報を考慮に入れて)。

この管理策を一言で言うと、「PIIを処理するために結ぶ契約の内容は、顧客(※1) のニーズに沿ったものとすること」です。

※1：顧客とは…4.4

PII処理のためにPII処理者が顧客と結ぶ契約としては、請負契約や委任契約などが考えられます。

PII処理者が、このような契約を結ぶ際にはその契約が顧客の立場に応じた義務が果たされるような内容であることが求められます。
例えば、顧客がPII管理者であればその義務、すなわちPIIの管理に関して本人や顧客に対して負う義務が果たされるような内容を契約に盛り込む必要があります。

※7.2.6 PII処理者との契約

契約に盛り込むべき事項としては、例えば

等が挙げられます。

上記事項は、顧客の具体的な立場や負っている義務の内容、また適用される法域によって変化するので、個々のケースにおいて注意深く契約の内容を確認することが必要です。
そのため、PII処理者としてはあらかじめ、想定される顧客の義務に応じたPII処理の契約ひな型を用意しておくといいかもしれません。

8.2.2 組織の目的

組織は、顧客に代わって処理するPIIを、顧客の文書化した指示に示されている目的のためだけに処理することを確実にする。

この管理策では「PII処理者は、顧客によって指示された目的を達成するためだけに処理を行うこと」が求められています。
これは裏を返せば、PII処理者は顧客によって指示された目的以外で処理をすることはできない、ということを表しています(なお、顧客がPII管理者である場合、7.2.6によって契約は書面で行うこととされています)。

PII処理は8.2.1の通り、PII処理者と顧客との間で契約(合意)が行われます。
その契約で処理というサービスによって達成する目的を定めた場合(※2)、PII処理者はこの目的を達成するためだけに処理を行うことになります。

※2：この契約には、その他処理サービスの期間や顧客の立場に応じた事項を定めておくことが考えられます。そのため、PII処理者としては、契約の内容として処理によって達成する目的を記載しておくことが必要です。

ただ、PII処理者は顧客から明示的な指示がない場合には、自らの判断で処理ができる場合があります。
例えば、本人にダイレクトマーケティングを行うという処理を顧客が指示し、そのマーケティング方法について明示的な指示がされていない場合には、PII処理者は本人の特性に応じてマーケティング方法を決定することができます。

他に、PII処理者は上記のように処理の目的を明確にし、その制限を守っていることを顧客が検証できるようにしておくという方法も規格では挙げられています。
例えば、処理者に対して定期的あるいは臨時の検証を行うことを契約の内容に盛り込むことなどです。

顧客が行った指示以外の目的で、処理者が下請負者が処理しないようにする施策、例えば達成すべき目的を記載しその厳守を誓約した書類を交わす、下請負者に対して顧客が調査できるように情報を開示するなどの方法で、PII処理者が目的外で処理を行うことを防ぐことが考えられます。