ISO/IEC 27701、PIMSとは?プライバシーマークとの違いや今後についても解説

この記事は約7分で読めます。

情報セキュリティマネジメントシステムに関する国際規格であるISMSに続き、プライバシー情報に関する国際規格であるPIMSにも、近時、注目が集まっています。

ヨーロッパでのGDPRによる個人情報およびプライバシー保護の動き、米国における消費者のプライバシー保護法制に見られるように、世界全体でプライバシー保護への注目度が高くなりつつあること、また日本の会社も海外との取引などの場面でこれらの法制度や、消費者意識に合わせて信頼を獲得する必要が生じているからです。

そこで、PIMSとPIMSのルール文書であるISO/IEC 27701について、どんなことが必要になるのか、会社で導入するなら何をするべきなのか、概要を解説します。

訪問回数無制限! 認証取得100%!

PIMS規格とは

PIMS規格は、PII=個人識別情報の処理により影響を受ける可能性がある、プライバシーの保護に対処するための、情報セキュリティマネジメントシステムのことをいいます(PIMS3.2)

プライバシー関連情報は、個人情報の一部ですので、ISMS=情報マネジメントシステムの中でも保護の対象となっていました。

しかし、プライバシーに関する特有の保護・配慮についてはしばしばISMSの中では足りず、倫理問題とされてきたため、統一的な保護の基準や、ルール決めがなく、会社等の組織でも指針を立てにくい面がありました。

その結果、組織により、プライバシーの保護や、ルール決めはまちまちとなり、プライバシー保護のレベルが社会の期待するレベルよりも低くなることも見られていました。

PIMS規格は、ISMS規格の拡張(ISO/IEC 27002への拡張も含む)という形でプライバシー情報の保護に関するルールの構築等について、水準以上の保護を行いやすいように体制・システムを示すものとして規定されています。

『PIIの処理』によって影響を受ける可能性のある『プライバシー』とは

プライバシー(privacy)とは、個人の私生活等を他人に知られない・干渉されない法的な権利と保障を指します。ただし、プライバシーがどの程度法的な保護を受けるかについては、各国の法制度により異なります。日本の場合、個人情報保護法の中で、プライバシー関連情報も保護の対象になります。

しかし、私生活に関する情報を自分でコントロールできない場合に生じる弊害は、消費生活の中でも例えばインターネット広告や、各種のリコメンド、クッキーの使用などの場面でしばしば意識されています。これらの情報の利用は個人情報保護法に照らして違法とまではもちろん言えません。

クッキーは、インターネットを利用する上で大変便利に思われることも多いですが、「自分の情報を勝手にインターネット事業者にコントロールされて使われては困る」と思っている消費者も多くいるのが実情であり、PIMSが保護しようとするのは、この事業者によるプライバシー関連情報のコントロール権のほう、と考えられます。

会社によるPIIの処理とは、例えばインターネットの利用の記録の収集や利用が具体例です。消費者がどういう広告を見たかは、クッキーにより情報を収集されますが、情報収集してほしくない、と思う個人もいるかもしれません。

収集・利用・保管・加工といった処理が、インターネットマーケティングの進化と共に、それぞれ消費者の情報のコントロール権を侵害したり、私生活の侵害に今まで以上につながるようなことがないよう、情報の適切な取り扱いを決める必要性が強くなりつつあるのです。

そこで、ISO/IECでは、PIMSとは別のプライバシーフレームワーク(ISO/IEC 29100)の中で、「その情報に関連するPII主体(=PIIに関連する個人)を識別するために利用され得る情報」又は「PII主体に直接若しくは間接に紐づけられるか又はその可能性がある情報」と定義し、PIIそのものと、その処理を保護の対象としています。

PIMSは、ISMS規格を拡張するものとして、プライバシー保護のための情報セキュリティマネジメントシステムを文書化したものであるとともに、フレームワークとして抽象性の高いISO/IEC29100を、もう少し組織内のルール作りに参照しやすい形で提示している意味があります。

そして、ISO/IEC 29100と同様、PIMSにおいても、保護の対象となる情報は、PIIであるとし、その利用に対する統制上のルールを文書化したものです。

情報そのものを保護することに加えて、会社等による処理に統制をかけることにより、PIIの主体である個人の情報コントロールに関する利益を保護することを目指しています。

プライバシーマークとの違い

日本においては、プライバシーマークという規格・認証制度があり、日本の中では個人情報を多く取り扱う業者が取得しているケースがすでに多く見られていますが、今後PIMSと比較するとどちらの認証を取得するのがメリットがあるといえるでしょうか。

この点、プライバシーマークは、日本固有の規格であることや、情報の管理者と処理者の責任分担・保護のための技術要件など不明確な点も多く、国際規格としてはなかなか通用しにくい面があります。また、海外へのデータ移送・海外でのデータ保管に関しての配慮については不十分な面もあります。

一方で、日本企業も今までISMSに対応、ISO/IEC 27001に準拠してきた企業では、PIMSは27001の拡張・アドオン規格であることから、プライバシーマークにあらためて対応するより親和性が高く、認証取得のハードルが高くはないと考えられます。

その上、日本以外の国での取引においては、国際規格であるPIMSによるプライバシー情報マネジメントシステムしか通用しませんので、国際取引を多くおこなう企業や、国境のないインターネットサービスを行う企業にとっては、選択肢はこちらしかないのではないでしょうか。

一方で、プライバシーマークは日本国内での自治体の入札要件としてあげられる例などもあり、また、そもそもプライバシーマークのもととなったJIS Q 15001は日本の個人情報保護法に準拠していることから、日本国内での信頼性を証明するにはまだ有効であると考えられます。

ただし、法令に準拠しておくことと、プライバシー情報の処理の適切性を担保することとは意味が違い、ますますプライバシーの重みが意識される状況といえます。

プライバシーマークを取得しても対応が足りない、という事態にならないか、消費者等の利害関係人や、社会からの信頼を十分得られるのかは検討することは今後の課題となるように思われます。

PIMSの今後

PIMSは、今後、ISMS(ISO/IEC 27001対応)をしている企業を中心に、プライバシー保護対応のために認証取得が進むと考えられます。

たとえば、経済産業省も、ISO/IEC 29001や、 PIMSの方法論を意識した「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を発行したように、パーソナルデータの利用がすすむことでよりプライバシーと、会社のガバナンスの関係が強く意識されると思われるからです。

また、特に海外での取引がある企業では、すでにISO/IEC 27001対応をしている企業にも見られるとおり、ベンダー起用の際の審査・デューデリジェンスを有利に進めることができることも考えられます。

今後国内での入札条件にも取り入れられるかなども、今後の見通しを左右するものと考えられます。

まとめ

プライバシー関連情報とその利用について、会社などの組織と消費者・個人との間では許容できる利用とは何かの点をめぐってギャップがあります。特にインターネットを通じた利用では、ギャップも大きくなりがちと考えられます。PIMSはこうしたギャップを埋めることが期待される規格として注視すべきものと思われます。

また、弊社ではPIMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,300社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。

ISMS / ISO27001認証取得を目指すISO27701
タイトルとURLをコピーしました