個人情報保護法とISO27701の関係について徹底解説!

はじめに

ISO27701がマネジメントシステムの対象としている「プライバシー保護」については、それぞれの国や地域によって、法令等による規制のされ方が異なってきます。

ISO27701では、PIMS(プライバシー情報を保護するためのマネジメントシステム)を構築する際の「組織及びその状況の理解」の要求事項の段階で、自らの組織にどのようなプライバシー法が適用されるのか、どのような規制が適用されるのかといったことを決定しなければならないとしています。
つまり、組織自身に適用されるプライバシー法などを決定し、その法規制に対して対応していく仕組みをPIMSで構築していくことになります。

組織が扱っている個人情報についてどの法令が適用されるのかを特定していくことで、それぞれの観点での個人情報保護に関するルールを構築する際の最低基準を知ることができます。

日本の場合は主に個人情報保護法がこれに該当します(その他、マイナンバー法や関連する業界の法令・ガイドライン等)ので、今回は個人情報保護法を見ていきたいと思います。

「個人情報」「PII」とは

個人情報保護法でいう「個人情報」は、「生存する個人」に関する情報であり、下記が該当します。

①その情報に含まれる記述等によって特定の個人を識別できるもの
(他の情報と容易に照合が可能で、それによって特定の個人を識別できる場合も含まれます)

②個人識別符号(身体の一部の特徴を符号化したものや、免許証番号など一定の番号や記号などの符号のうち、政令で定められたもの)が含まれるもの

これに対し、ISO27701でいう「PII」とは、「個人識別可能情報」の英語表記personally identifiable informationの頭文字をとった表記です。基本的に「個人情報」と同義と考えて頂いて問題ありませんが、
規格(ISO27701が引用しているISO29100)では、以下のように定義されています。
(ISO29100 2.9より引用)

a) その情報に関連するPII主体を識別するために利用され得る情報、又は

b) PII主体に直接若しくは間接にひも(紐)付けられるか又はその可能性がある情報。

個人情報保護法上の適宜の上記①、②と、ISO29100上の上記a)、b)とが、意味合いとしてそれぞれ対応してきます。

もっとも、ISO27701の定義は各法令に対応できるように広く定められているため、「個人情報」の定義に該当しない場合にも「PII」に該当することはあります(適用される法令に従う必要があるため、その逆のケースは「個人情報保護法」の適用される組織においてはありません)。

「個人情報保護法」の適用される事業者について

おそらくこの記事を読んでいる事業者の方は日本で事業をされている方が多いかと思います。

日本で個人情報を取り扱う事業者に対しては個人情報保護法が適用されます。より具体的にいうと、個人情報保護法が適用されるのは、国の機関や地方公共団体などの公的な組織を除いた、「個人情報データベース等を事業の用に供している者」等です。

以前は、対象となる事業者が「個人情報取扱の件数が5000人以下の場合」には適用されないといった内容でしたが、2017年に改正され、扱う個人情報の件数に関わりなく適用されることになりました。

また、これまでは「個人情報の保管期間が6か月以内のもの」については「保有個人データ」に関する規制の対象外でしたが、この保有期間要件も2020年の個人情報保護法改正により撤廃され、今後(施行後)は、保有期間に関わらず個人情報保護法の保有個人データの規制がかかることになりました。

日本で事業を行う組織でISO27701を取得する組織の場合には、基本的にこの個人情報保護法を適用されるプライバシー法令として特定していくことになります。

ISO27701における事業者(組織)について

ISO27701では、PIIを取扱う組織としては、「PII管理者」「PII処理者」という2つの役割がでてきます。
この2つに分ける考え方は日本の個人情報保護法にはありませんが、GDPRをはじめ、世界的には一般的な分類方法です。

「PII管理者」とは、PIIの処理の目的・手段を決定する組織、「PII処理者」とは、PII管理者の指示に従って、PII管理者の代わりにPIIを処理する組織です。日本の場合で考えるとPII処理者とはPII管理者からPII処理(個人情報取扱い)を委託された委託先組織に該当します(日本では特に委託元の場合と委託先の場合とで法令の内容を分けていません)。

規制対象やルールについて

個人情報保護法では、事業者が「個人情報」(匿名加工情報など「個人情報」に該当しない情報についての規定もあります)を取り扱う際の規制が規定されています。そのため、実務上は「個人情報」に該当するか否かを基準にルールが定められることが多いかと思います。

ISO27701では、PII処理によって影響を受けるプライバシーの保護をマネジメントシステムの対象としています(PIMS)。つまり、PII(個人情報)それ自体ではなく、その取扱いによってPII主体(本人)が受ける「プライバシー」を保護対象としたルールを構築していくことになります。
(そのための手段としてPIIをカテゴリー分けしていくことはあります)

ここで、「プライバシー」に関しては、ISO27701等の規格上にはなんら定義はありません。一般的な定義でいうと、プライバシーとは「他人に知られたくない私的な(個人や家庭内の)秘密」等といった意味合いで使われます。プライバシーの定義も、適用される法令(判例)等で変わってくることがあるため、実際には法域によって異なることにはなります。

おわりに

いかがでしたでしょうか。

ISO27701は各国の法令に対応できるように、より抽象的な記載(個人情報保護法の定義よりも広く)になっています。
日本の事業者でISO27701のPIMSを構築する場合には、個人情報保護法への対応のみならず、ISO27701の観点からのプライバシー情報保護のためのマネジメントシステムを構築する必要があります。

ISO27701に準拠したPIMSを構築することで、海外に事業展開して海外の法令にも対応する必要が出てきた場合や、個人情報保護法が改正されて社内ルールを変更する必要が出てきた場合などに、効率的な社内の個人情報保護のルールを策定・改定することにつながるかと思います。

お気軽にご相談ください
ISO27701管理策資料
お問い合わせ/無料相談
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る