はじめに
ISO27701の規格には、「顧客」という用語が登場します。今回はこの用語について説明していきたいと思います。
ISO27701の規格では、4.4で「顧客」の定義がされています。そして、この「顧客」という用語は、その後の様々な場面で出てきます。
ISO27701では、PIMSを構築する際に組織の役割がPII管理者なのか、PII処理者なのか、もしくはその両方なのかを決めましょうと書かれています。そして、PIMSを構築する組織にとって、誰が顧客に当たるのかは、その組織の役割によって変わってきます。
規格上で定められた3つのパターン
ISO27701の4.4では、「顧客」の関係を3つのケースに分けています。
引用すると、
a「PII管理者と契約している組織」
b「PII処理者と契約しているPII管理者」
c「PII処理のために下請負者と契約しているPII処理者」
の3パターンです。
そして、それぞれのパターンごとに、ISO27701規格のどの箇条で適用可能かが書かれています。
上記3つのパターンのうち、一番イメージしやすいのは、bのケースかと思います。
つまり、自社の従業員の教育のためにその個人情報を利用するA社(PII管理者)が、eラーニング提供会社(PII処理者)であるL社のeラーニングサービス上に従業員の氏名等(PII)を登録して利用するようなケースです。
このとき、L社にとってA社が顧客となります。つまり、PII処理を委託されたPII処理者にとっては、PII管理者が「顧客」となります。
これが、「PII処理者と契約しているPII管理者」の例となります。
次に、cのケースについて説明します。「PII処理のために下請負者と契約しているPII処理者」というのは、PII管理者から委託を受けたPII処理者が、さらにPII処理を委託する場合がこれに当たります。
この、「さらにPII処理を委託」されるのが、ここでいう「下請負者」ということになります。この下請負者にとっての「顧客」は、その処理の委託を依頼した「PII処理者」ということになります。
最後に、aのケースを説明します。こちらは規格の文面だけを追うと少し分かりにくいかと思います。
規格では、「PII管理者と契約している組織」の記述の後ろに、「(例えば、PII管理者の顧客)」と記載されています。そして、この箇所の「注記2」には、「この規格では、組織にとってB-to-Cの関係にある個人を“PII主体”と呼ぶ」という説明があります。
この記述を見ると、「B-to-Cの関係にある個人」の場合、「組織」ではないため、「PII管理者と契約している『組織』」に該当しないようにみえます。(つまり、PII主体は顧客となり得ないように思えます。)
しかし、規格でその後出てくる「顧客」という文言は、このようなB-to-Cの関係の個人も顧客と捉えないと、PII管理者として対応すべきことが、B-to-Bの場合とB-to-Cの場合とで変わってくるという状況に陥ってしまいます。
実際にも、このようなB-to-Cにある個人も、顧客として捉えていいと考えられる(「~組織」という記載は、PII主体の場合を「顧客」から排除する意図ではない)というのが関係者の方に聞いた際の意見でした。
(*今のところ公式な見解がどこかで出ているという状況ではありません)
ひとまずは、PII管理者にとって、個人情報を預かる「お客さん」は「顧客」と考えて頂いたいいかと思います。
おわりに
今回は、「顧客」という規格上に書かれた定義の一つを読み解いていきました。このように、ISO27701では、ところどころで考えてみると深みにはまるような記述があります。
ISO27701のブログでは、そういった用語も色々とご紹介させていただきたいと思います。