ISO27701規格解説 - 7.3.1、7.3.2、7.3.3
ここでは、ISO 27701管理策の解説をしていきます。
今回は、『7.3.1 PII主体に対する義務の決定及び履行』~『7.3.3 PII主体への情報提供』まで解説します。
※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。
7.3.1 PII主体に対する義務の決定及び履行
この管理策では、組織がPII主体に対してどのような義務を負っているのかを特定し、それを文書化すること、その義務を実施するために必要な手段を実際にとることが規定されています。
PII主体に対して負う義務としては、関係する法令上の義務や、契約に基づいて負う義務があり、具体的にどのような義務を負うのかを把握していないとコンプライアンス違反を生じさせてしまう危険性があります。
そこで、この管理策では、「まずは組織が負う義務はどのようなものがあるのかを把握しましょう」としています。
PII主体に対する法令上の義務の例としては、個人情報保護法の規定でいうと保有個人データに関する事項の公開等(27条)、本人への開示(28条)、訂正等(29条)などがあります。また、GDPRでは、PII主体への責任(アカウンタビリティ)、データ主体のアクセス権などが定められています。
PII主体に対する義務を果たすための手段の提供として、PII主体に対して、PII主体に対する義務を「どのように、どの程度果たすか」といったことも文書として明確に提供することが望ましいと実施の手引には書かれています。
つまり、PII主体が実際にPII管理者に対して義務履行を請求するには、どのような手段で請求すればいいのか、どのような請求ができるのか、という情報が不可欠であり、その情報をきちんとPII管理者側からPII主体に提供する必要があるということになります。
そして、その際のPII管理者への連絡先については、PII又は同意の収集と同じ方法で提供しましょうとされています。
これは、例えば同意をメールで取得している場合、郵便での問い合わせにしか対応しないとすると、PII主体が問い合わせを躊躇させることに繋がり得るため、手段を統一した方がPII主体の利益につながるためです。
7.3.2 PII主体のための情報の決定
この管理策では、PII主体に提供する情報(何を)と提供するタイミング(いつ)を決めて文書化しましょうと書かれています。
法令等で、提供しなければならない情報やいつまでに提供しないといけないかなどが定められている場合があり、それらの抜け漏れがないためにも、必要な情報がまとめられた文書が役立ちます。
法令等で規制されている例として、個人情報保護法においてオプトアウトによる第三者提供をする場合には【提供する情報=法定の届出事項】を、【タイミング=「あらかじめ」】、本人に通知・本人が容易に知り得る状態に置くと定められています。
また、GDPRでは、PII主体から同意を得る際には、【提供する情報=いつでも撤回できる権利を有する旨】を、【タイミング=(PII主体がPII管理者に)同意を与える前】に伝えることが義務化されています。
このように、規制される法令によって伝えなければならない情報や、いつまでに伝えなければならないかなどが異なってくるので、PII管理者が行おうとしている取扱いの中ではどのような規制がされるのかを把握しておき、文書化しておくことが重要となります。
また、本管理策の実施の手引では、情報は「通知の形式を取り得る」と書かれています。
例えば、個人情報保護法で関連する用語としては、「同意」以外での義務履行手段として、本人への「通知」のほか、「本人に容易に知り得る状態」に置くことや、「公表」などといったものがあります。
どのようなケースで、どの程度の行為(同意、公表、通知など)まで必要かといったことを予め文書として準備しておくことは、実際の業務を行う際の効率化にも役立つかと思います。
7.3.3 PII主体への情報提供
この管理策では「PII管理者を特定する情報」と「PIIの処理について説明する情報」を、PII主体に提供しましょうと規定しています。
つまり、誰がPII管理者なのかがわかる情報を提供し、どのようなPII処理がされるのかについて説明を与えられることで、PII主体が同意をする/しないの判断をする際などの判断材料となるので、そういった情報をしっかりと提供しましょうということになります。
法令でこれらの情報をPII主体に提供する義務がある例として、個人情報保護法では共同利用する個人データの管理について責任を有する者の氏名等や、共同利用されるデータの項目、利用する者の利用目的といった情報を提供することを義務としています。
(共同利用:一つの会社が取得した個人情報を二社以上で一緒に使うことをいい、個人情報保護法で「第三者提供」の例外として規定されている)
そして、PII主体が正確に判断できるように、単に情報提供という行為さえすればいいのではなく、提供するPII主体にとって分かりやすいよう、明確かつ平易な言葉で説明することも必要となります。
例えば、PII主体が専門用語について詳しい個人なのか、単なる一般消費者で専門用語の知識がないのかによって、PII処理についての説明の粒度も変わってくるかと思います。
そこで、その対象となるPII主体にとってしっかりと理解できるように、また、簡単にその情報にアクセスできるような形で、情報を提供する必要があります。
また、実施の手引では、上記のような情報をPIIの収集時点で提供し、情報が恒常的にアクセスできるようにしておくことが望ましいと規定されています。これは、収集というPII処理の始まりとなる時点で情報提供することで、以後のPII処理につながることでのプライバシーへの悪影響を低減する可能性が高まるためです。
そして、恒常的にアクセスできる(例えば、一度郵送で情報提供するのみではなく、WebサイトにPII管理者情報とPIIの処理についての説明を載せておく)ことで、PII主体に開示請求・訂正請求などが認められているケースにおいてその権利を行使しやすくなります。
もっとも、常にいかなる情報でも与えてしまっては組織の機密情報等の漏えいに繋がりかねません。
そこで、あらかじめどのような情報をどの程度提供するか、組織として決めることが情報セキュリティ上重要となってきます。
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く