GDPRとISO27701の関係性について徹底解説!
2019年8月に発行された規格であるISO/IEC 27701(以下「ISO27701」と表記します)ですが、2018年5月にEUで施行されたGDPR(一般データ保護規則)とともに語られることが多いです。
この記事では、両者の簡単な説明や関係性について説明していきます。
何のための(何に向けた)規格、規則か
ISO27701は、PIMS=プライバシー情報マネジメントシステムの構築・運用のための規格で、情報セキュリティに関するISMSのの規格ISO/IEC 27001を拡張した規格となっています。
プライバシー情報マネジメントシステムとは、個人情報の取り扱い(規格では「PIIの処理」という言葉で説明されています)によって、個人情報により特定される本人(「PII主体」と呼ばれています)のプライバシーに影響を与えるというリスクが発生する可能性があるため、そのリスクを組織として管理するための体制を指します。
簡単に言ってしまうと、プライバシーを保護するためにどんなことをすればいいかが書かれた規格がISO27701です。この規格は国際規格で、世界各国で同じ内容が用いられています。
一方、GDPRは欧州経済領域(EEA)、つまりEU加盟国にノルウェーなど3か国を追加した国々を対象とした規則となります。こちらは規則=「これをやらなければならない」ということが書かれています。
そして、ニュースなどでも話題になりましたが、GDPRの一定の条項に違反した場合には、最大で2000万ユーロ(約25億円)または世界全体の売上総額の4%のうち高い方の金額が制裁金として課される可能性があります。
GDPRでは、EU及びEEA加盟国の3か国に在住する個人のデータを保護の対象としています。例えば日本にしか事業所がない場合でも、それらの国に向けてサービスを展開(クラウドサービス、ECサイト等)している場合には、GDPRによる規制の対象となります。
ISO27701の認証を取得すればGDPRに準拠しているといえるか
ISO27701に関してよく質問されるのが、「ISO27701に準拠していればGDPRに準拠したといっていいのか」ということです。まずこの点に対する回答ですが、端的にいうと「No」となります。
確かに、ISO27701の規格発行に関してはEUの国々から国際規格としての要請があったことに端を発しているという経緯はあります。また、規格の管理策にある「法域によっては~」という部分はほとんどGDPRのことを指しています。そして、規格の附属書DにはGDPRと規格の対応表があります。
しかし、以下の理由からISO27701に準拠していることは、必ずしもGDPRに準拠していることを意味しません。まず、附属書Dの対応表をみると分かる通り、規格の各項目やGDPRの条項とは対応する箇所が多くありますが、必ずしも規格の項目がGDPRの全てに対応しているわけではありません。
また、対応表で対応しているといっても、それは規格の「実施の手引」(=「管理策」を実施するための対応策の例)の部分に「法域によっては~」という形で記載されている部分も含まれます。つまり、GDPRのこの条項に対応する規格の管理策を適用しているとしても、その内容が必ずしもGDPRの要求を満たしているとは限らないのです。
以上から、ISO27701への準拠は必ずしもGDPRへの準拠を意味するものではありません。
ISO27701によるPIMSの構築がGDPRへの対応に役立つか
次に、「GDPRに対応するのにISO27701の規格が役立つか」という観点で見ていきましょう。
この点に対する回答としては「Yes」といっていいでしょう。
ISO27701は、プライバシー情報を組織として保護していく(リスクマネジメントしていく)ためにはどのようなことに気を付けたらいいかという視点を抽象的にかつ網羅的に示しています。
そのため、ISO27701の観点から必要に応じて適用される法域のプライバシー保護法を確認し、マネジメントシステムのルールとして採り入れていくことができます。多くの会社さんにとっては日本の個人情報保護法のみが対応となる場合が殆どでしょうが、提供するサービス等によってはGDPRの規制対象となってしまう可能性があり、その際にはGDPRに対応するためにどういった社内ルールを構築していけばいいかをISO27701を用いて検討することで効率的なGDPR対応が可能となります。
おわりに
以上ご説明した通り、GDPRに対応するためにISO27701の規格は必要条件でも十分条件でもありません。
しかし、世界各国で強化されるプライバシー保護法に対応するためにプライバシー保護のための抽象的な対応策が書かれたISO27701を用いることは、GDPRへの準拠体制を構築することに大いに役立ちます。
そのようなプライバシー法への対応の事前準備としてISO27701に準拠したマネジメントシステムの構築や認証取得に興味をお持ちの方はぜひ、お問い合わせください。
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く