PII、PII管理者、PII処理者とは?
情報セキュリティマネジメントシステム(ISMS)は、情報を適切に取り扱うための仕組みです。ISMSに加えて、個人識別可能情報(PII)も適切に取り扱うための仕組みがプライバシー情報マネジメントシステム(PIMS)です。そして、PIMSを構築・運用するための方法や手引が書かれているのがISO/IEC 27701です。
以下では、そもそもPIIとはなにか、ISO/IEC 27701で頻出するPII管理者/PII処理者について解説したいと思います。
PIIとは
PII(Personally Identifiable Information)とは、そのまま和訳すると「個人を識別することができる情報」なので、日本の法律でいう「個人情報」とほとんど同じです。一例として、氏名やマイナンバー、顔写真などが挙げられます。そして、そのPIIによって特定される個人のことを「PII主体」といいます。つまり日本の法律でいう「本人」です。
ある情報単体ではPII主体を特定できない場合でも、複数の情報を組み合わせてPII主体を特定できるのであれば、それはPIIになり得ます。このことは、別の規格(ISO/IEC 29100)で定義されています。
ISO/IEC 29100に書いてある例を紹介します。
とある企業で特定の個人を探すことを考えます。「女性」「45歳」「弁護士」という3つの要素で探すと、特定の個人を探すことができるかもしれません。しかし、「女性」という要素だけで探しても目的の人物は特定できないでしょう。このように、それぞれ単体ではPIIではない情報でも、組み合わせることで個人を特定できるようになる場合、組み合わされた情報はPIIとなります。
PII管理者
PIIを取り扱う事業者は2つに分けることができます。その1つがPII管理者(Controller)です。
PII管理者の定義は、ISO/IEC 29100で定義されています。
そこでは、「PII処理の目的と手段を決定するプライバシー利害関係者である。私的な目的によってデータを利用する個人を除く。」とあります。要約すると以下の2点になります。
- PIIを処理するための利用目的や利用方法を決める事業者
- 個人が私的に利用目的、利用方法を決めても、PII管理者ではない
PII管理者の役割は、PIIが適切に処理されることを確実にするために、利用目的や利用方法を決めることです。このとき、他の事業者と一緒に利用目的や利用方法を決める場合があります。その事業者のことをPII管理者にとっての「PII共同管理者」といいます。また、PII管理者は各国の法令や規制に関する責任を負います。日本においては、個人情報保護法の順守が求められます。
PIIの利用目的と利用方法を決めるだけではなく、自身が決めた利用目的や利用方法に従って自らPIIを処理することができます。また、他の事業者にPIIの処理を依頼することも可能です。PII管理者から依頼されてPII処理を行うのが、以下で説明するPII処理者です。
PII処理者
上記の通り、PII処理者とは、PII管理者が決めた方針に従ってPIIを処理する事業者のことです。
PII管理者と同じく、ISO/IEC 29100で定義がされています。
そこでは、「PII管理者の代わりに、かつPII管理者の指示に従ってPIIを処理するプライバシー利害関係者」とあります。PII処理者のイメージとしては、個人情報に関する業務を委任する際の委託先が該当します。
PII処理者の役割は、PII管理者が決めた方針に従って処理を行うことです。PII管理者との契約に従って、PII管理者が決めた方法、手順でPIIの処理を行います。例えば、税理士や社労士など、委託先からの指示の下何をするのかを決めている事業者はPII処理者にあたります。
PII管理者とPII処理者どちらにおいても、事業者がISO/IEC 27701に沿って事業を行う場合、その事業に関係する法域を考慮する必要があります。一例として以下が挙げられます。
- 日本:個人情報保護法
- EU:GDPR(EU一般データ保護規則)
- カリフォルニア州:CCPA(カリフォルニア州消費者プライバシー法)
- 中国:中国サイバーセキュリティ法(インターネット安全法)
- アジア太平洋経済協力(APEC):CBPR(越境プライバシールール)
中国のデータセンターでEU在住者の個人情報を扱っている企業を想定しましょう。中国サイバーセキュリティ法では「重要情報を扱っているインフラ事業者と国から指定された場合、事業活動によって収集や生成した個人情報は、原則、中国国内で保管する必要がある」とされています。よって、上記に当たるような事業者の場合、個人情報の取り扱いに関して中国における法的な規制の対象になります。また、個人情報がEU在住者に関するものであった場合、GDPRに則って個人情報を扱う必要があります。つまり、この事業者は「中国サイバーセキュリティ法」と「GDPR」の2つの法的規制を考慮する必要があるということです。
以上のように、PII管理者とPII処理者は、自らの組織に適用される各国の法令に違反しないようにPIIの規制の対象となるPIIに関する法令を把握し、適切に処理をする必要があります。
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く