ISO27701における規格の構成について

ISO/IEC 27701は、プライバシー情報マネジメントシステム(PIMS)を構築するための規格です。
今回は、この規格の箇条4に書かれている、規格の構成について説明します。

まず、箇条4には「この規格は、ISO/IEC 27001:2013及びISO/IEC 27002:2013に関連するセクター固有の規格である」と書かれています。ここで言うセクター固有の規格とは、ISMSに関連した規格という意味です。ISO/IEC 27001とISO/IEC 27002は、ISMSを構築するための規格なので、ISO/IEC 27701はISMSに関連して作られていると理解できます。実際に、PIMS認証はISMS認証に付け加えるアドオン認証として位置づけられています。

情報マネジメントシステム認定センター「アドオン認証：ISMS認証を前提として、特定の分野固有の規格を満たしている組織を認証する仕組み」はこちら

PIMSを構築するための基本的な考え方は、ISO/IEC 27001とISO/IEC 27002に書いてある「情報セキュリティ」を「情報セキュリティ及びプライバシー」と言い換えた形でマネジメントシステムを構築することです。これによって「情報セキュリティだけでなく、プライバシーもちゃんと守って事業をしている」といえる体制をつくることができます。しかしそれだけでは不十分です。そこで書かれているのが、PIMS固有の要求事項や追加の手引です。

上記の通り、ISMSの規格にプライバシー保護に関して検討すべき内容が付け加えられているのがISO/IEC 27701です。具体的には、箇条5に「ISO/IEC 27001に関連するPIMS固有の要求事項」、箇条6に「ISO/IEC 27002に関連するPIMS固有の手引」が書かれています。

しかし、ISMSをベースにしたルールだけでは、PII(個人情報)を取り扱う事業者としてはまだ不十分です。
そこで書かれているのが、PIIを取り扱う事業者であるPII管理者とPII処理者それぞれのためのルールです。
それぞれの立場で、PIIを処理する目的や取り扱うための方法や手引が書かれています。

具体的には、附属書AにPII管理者、附属書BにPII処理者のための「PIMS固有の管理目的及び管理策」が書かれています。そして、附属書に書かれている管理目的及び管理策を実施するための手引が、箇条7「PII管理者のためのISO/IEC 27002の追加の手引」と箇条8「PII処理者のためのISO/IEC 27002の追加の手引」です。附属書A及びBと箇条７及び箇条８の関係性は、ISO/IEC 27001の附属書AとISO/IEC 27002の関係性と同じです。

ここでの対象はPIMSを構築するすべての事業者です。つまりPII管理者とPII処理者が、ISO27001本文の要求事項に加えて取り組まなければいけない内容です。

ISO/IEC 27001の箇条4「組織の状況」と箇条6「計画」に対して、6個のPIMS固有の要求事項が追加されています。

箇条6もPII管理者、PII処理者を対象にした内容です。ISMSでルールを構築した際に検討した管理策を実施するための手引に加えて、PIMS固有の実施の手引や関連情報が記載されています。ISO/IEC 27002に書かれている114個の管理策のうち34個が対象となります。

ISO/IEC 27002の実施の手引のうち、17章「事業継続マネジメントにおける情報セキュリティの側面」にだけPIMS固有の手引が存在しません。

PII管理者がPIIを適切に取り扱うための追加の手引が書かれています。

PII処理者がPIIを適切に取り扱うための追加の手引が書かれています。

PII管理者がPIIを適切に取り扱うための管理目的や管理策が書かれています。31個の管理策があります。

PII処理者がPIIを適切に取り扱うための管理目的や管理策が書かれています。18個の管理策があります。