はじめに
PIMS(プライバシー情報マネジメントシステム)の規格であるISO/IEC 27701では、PIMSを構築しようとする組織の役割に関して、「組織は、自らの役割を、PII管理者及び/又はPII処理者として決定しなければならない」と定めています(ISO/IEC 27701 5.2.1)。つまり、PIMSを構築する組織は、『PII管理者』、『PII処理者』という2つの役割(のどちらか一方または両方)を持つことになります。
*『PII管理者』は『PIIコントローラー』、『PII処理者』は『PIIプロセッサー』と、それぞれ呼ばれることもあります。
では、そもそも、『PII管理者』、『PII処理者』とはどのような役割をいうのでしょうか。この記事では、具体例も見ていきながらそれぞれの役割の説明をしていきます。
組織としての『PII』とのかかわり方
まず、PIIというのは、簡単にいうと特定の個人を識別できる情報をいい、日本の個人情報保護法でいう『個人情報』とほぼ同じ意味であるとイメージして頂くといいかと思います。そのPIIを、組織が取り扱う場合、二つの立場での取扱いが観念できます。
まず、その取得したPIIをどのように取り扱うか(取り扱わなければならないか)の目的やルールを定め、その通りに実施するよう管理する立場での取り扱いです。これが、PII管理者です。
次に、PII管理者からPIIの処理(PIIの保管なども含めたPIIの取扱いに関する全て)をするよう頼まれた組織という立場での取り扱いです。こちらが、PII処理者です。
PII管理者とは
規格上の定義(ISO/IEC 27701の参照するISO/IEC 29100)を見てみると、PII管理者は「私的な目的でデータを使う個人を除く、PIIを処理するための目的及び手段を決定するプライバシー利害関係者」と定義されています(29100-2.10)。
つまり、まず、個人の私的な目的(個人事業主が事業目的で取り扱う場合は除かれます)でのPIIの取扱いは除かれます。そして、PIIの取扱いの「目的及び手段を決定」する権限がありそれを行っている組織である必要があります。したがって、PIIの処理を委託された者等といった、PPIを何の目的で取り扱うか・どのように取り扱うかといったことを決定する権限なくPIIの処理をする者は、この要件によって、PII管理者から外れます(PII処理者に該当)。
PII処理者とは
次に、PII処理者の定義を見てみます(29100-2.12)。PII処理者は「PII管理者に代わり、かつ、その指示に従ってPIIを処理するプライバシー利害関係者」と定義されています。
したがって、PII管理者に「代わっていない」場合、つまり、PII管理者自身がPIIの処理を行ったとしても、その組織が『PII処理者』となるわけではなく、あくまでPII管理者としてPIIを処理したことになります。PII処理者とは、PII管理者の「指示に従って」PIIを処理している必要があります。個人情報保護法でいう、「委託」先の組織がPII処理者に該当する、というイメージです。
具体的にどういった場合にどういった役割になるか
具体例を見てみましょう。
A社が、①従業員の社会保険手続き業務をB社会保険労務士に委託している、②クラウドサービスを提供しており、そのサービスではユーザーが業務情報を登録していき、その情報の中には個人情報も含まれる、③自社の商品を販売するECサイトを運営しており、そのサイト上で消費者(サイト登録者)の個人情報を取得し、その情報を元に販売サービスの提供を行っている、という状況を例に考えてみます。
まず、①の場合。この場合、A社は従業員の個人情報に関して社会保険手続きで利用するという目的を定め、無関係の業務に使ってはいけないなどのルールを適用させ、具体的な処理をB社会保険労務士に委託しています。したがって、この場合のA社の役割としては、PII管理者(PII処理はしない)となります。
次に、②の場合。この場合、そのクラウドサービス上に登録される個人情報は、サービスのユーザー(A社の顧客)が管理している個人情報です。そのため、(A社の顧客がPII管理者となる場合に、)A社は顧客からの指示に従って(顧客に対する利用規約の提供とその遵守といったこともそれにあたります)個人情報の処理(クラウドサービス上での保管など)を行っているといえます。したがって、この場合のA社の役割としては、PII処理者(PII管理者ではない)となります。
最後に③の場合。この場合、A社の事業として消費者(ECサイト利用者)の個人情報をどう取り扱うかをA社自身で決定し、A社自身が登録された個人情報を元に商品を発送・料金請求等といった処理をしています。したがって、この場合のA社の役割としてはPII管理者(PII処理を行う)となります。
おわりに
以上、『PII管理者』と『PII処理者』の各用語について見てきました。日本の個人情報保護法上には無い概念ですので(個人情報保護法では「個人情報取扱事業者」等、管理者・処理者の区分けはなく、規制対象を分類しています)PIMS認証の取得を検討される際などに一度ご確認してみてはいかがでしょうか。