ISOが求める個人情報保護とPマークやJIS Q 15001などとの違いは?

個人情報保護 ISO全般

個人情報保護にはいろいろな規制や規格があって、どの基準に従えば良いのか悩んでいる会社も多いのではないでしょうか?今のままで良いのか、他の規格などの認証を取得する必要はないのか、などの検討をしている会社もあるでしょう。

この記事では以下の項目を説明することで、個人情報保護に関するPマークやJIS、ISO規格の種類や内容の違い、どの規制や規格の認証を取得すれば良いのかの参考となる事項などを紹介します。

  • 個人情報保護の法規制やISO規格の動向
  • 個人情報保護に関するISO規格の規定
  • 個人情報保護に関する日本の規格:JIS Q 15001
  • 日本独自の規制:Pマーク
  • それぞれの規制・規格の違いと認証取得のおすすめ

個人情報保護の取扱いに悩んでいる会社の方や、認証取得を検討している会社の方などに参考にしていただきたい内容です。

個人情報保護の規制動向について

コンピュータやインターネットが急速に発展して、それまで企業などの組織の重要な資源とされていた「ヒト」、「モノ」、「カネ」に加えて「情報」の価値が大きくとりあげられるようになりました。情報のなかでも、顧客に対して最適なサービスなどを提供するための顧客情報、顧客の「個人情報」が特に重要視されるようになってきました。

ただ、個人情報が流通する過程などで外部に漏えいする事故などが次第に多くなり、規模も大きくなる傾向がでてきたことから、個人情報保護の取組みが世界的な課題として検討が進められるようになりました。

個人情報保護の取組みは法律などによる規制と、ISO規格による標準化の二つに大きく分けられます。まず、法規制などの動向を制定順に見てみましょう。

法規制などの動向を制定順に

【1980年】:OECD(経済協力開発機構)の「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」

OECDは、国際経済全般について協議することを目的に1961年に設立された国際機関で欧米を中心に約40カ国が参画しています。

この勧告は、「OECDプライバシーガイドライン」と呼ばれ、個人情報の保護に関する法制度づくりの発端になりました。

【1995年】:EU(欧州連合)の「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」

この指令は、「EUデータ保護指令」と呼ばれ、指令が定める個人情報保護水準が確立できない国や企業はEU域内から個人に関する情報を移転することができないとされていて、日本にも影響を与えました。

【1997年】:日本の通商産業省(経済産業省)の「個人情報保護ガイドライン:民間部門における電子計算処理に係る個人情報保護について(指針)」

欧米を中心とした世界的な動きを受けて、通商産業省が策定した個人情報の保護についてのガイドラインです。

【1998年】:日本の「プライバシーマーク制度」が発足。

【1999年】:JIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)制定。2006年と2017年に改訂されますが、この時点ではマネジメントシステムの概念は導入されていません。

【2005年】:日本で「個人情報保護法:個人情報保護に関する法律」が全面施行。

【2006年】:JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)改訂。ISO9001やISO14001のマネジメントシステムの概念が導入され、2005年の個人情報保護法などへの法令遵守が規定されています。

【2015年】:「個人情報保護法」が改正、2017年に全面施行。「個人情報保護法」は3年毎に見直しするとされていて、2020年に次の見直しが予定されています。

【2016年】:EUが「EUデータ保護指令」に代わる「一般データ保護規則(GDPR:General Data Protection Regulation)」を制定、2018年施行。

【2017年】:JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)改訂。「個人情報保護法」改正に伴う内容の整合性と、ISO附属書SLの上位構造に則した他のマネジメントシステム規格との近接性が保たれています。なお、このJIS規格に対応する国際規格は制定されていません。

ISOでの個人情報保護の動向と規格の内容

法規制とは別に、ISO規格による個人情報保護についての標準化の動きがあります。法規制などは国や域内などの状況に応じて定められますが、ISOは国際標準規格なのですべての国などへの適用が考慮され制定されます。そのため、法規制などよりも少し遅れて制定される傾向にあります。規格の制定順に個人情報保護に関係するISO規格の規定内容などを見てみましょう。

ISO/IEC27001:2005

2005年にISO/IEC27001(情報セキュリティマネジメントシステム-要求事項)が制定されました。情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の規格として初めて制定されたISO規格です。

そのなかで、個人情報の取扱いに関する指針として「プライバシー及び個人を特定できる情報(PII)の保護」という項目があります。個人を識別、特定できる情報をPII(Personally Identifiable Information)として、その保護を確実なものとするために関連する法規制などを順守し、そのための事業者としての方針を定めることを要求しています。

ISO/IEC27001は情報セキュリティマネジメントシステムの最も基本的で広範囲の規格で、多くの企業などが認証を取得しています。これ以降に紹介する個人情報保護に関わるISO規格は、すべてこのISO/IEC27001のアドオン規格になっています。つまり、このISO/IEC27001を認証取得していないと他の関連するISO規格の認証取得ができません。

2013年にISO附属書SLの上位構造に則して、他のISO9001やISO14001などのマネジメントシステム規格と同様な構成や内容に改訂されています。日本ではJIS Q 27001:2014としてJIS化されています。

ISO/IEC29100:2011

2011年にISO/IEC29100(プライバシーフレームワーク-プライバシー保護の枠組み及び原則)が制定されました。個人情報保護を目的としたISO規格で、個人識別可能情報(PII)保護のための枠組みが標準化されています。

1995年に制定された「EUデータ保護指令」にも対応できるISO規格で、日本ではJIS X 9250:2017としてJIS化されています。この規格では、収集の制限や利用、保持、開示の制限、オープンさ、透明性、通知、説明責任など11の主要原則が示され、それに基づいて事業者が個々の詳細な個人情報保護の取組みを定めて実施することになっています。その取組みを定めるためのサポートとして以下の事項が示されています。

  • 一般的なプライバシーについての用語の規定
  • PIIの処理における関係者の役割の定義
  • プライバシー安全対策要件の説明
  • 既知のプライバシー原則のリファレンス

ISO/IEC27001のアドオン規格で、ISMSの確実なマネジメント運用のもとでこの規格によって個人情報保護を目的とした管理策の策定が標準化されることになります。

ISO/IEC27108:2014

2014年にISO/IEC27018(パブリッククラウドにおける個人識別可能情報保護のための実践規範)が制定されました。クラウドサービスを提供する企業を対象として、個人情報に特化した管理策を示すことでより強固なISMSを構築する目的で策定されたISO規格です。

インターネットなどのネットワークを通じて情報などを提供するクラウドサービスは2010年前後から急速に普及し、そのなかの個人情報を保護するための管理策の重要性が指摘されていました。ISO/IEC27018はクラウドサービスを提供する企業を対象にして、クラウド上の個人データの取扱いについての管理策を提示した最初のISO規格です。

クラウドサービスを提供する企業向けのISO規格で審査機関もまだ限られていて、認証取得の動きはあまり見られません。まだJIS化もされていません。

ISO/IEC27107:2015

2015年にISO/IEC27017(クラウドサービスのための情報セキュリティ管理策の実践規範)が制定されました。原案を日本が提案した規格で、クラウドサービスを提供する側、利用する側双方について、ISMSでの情報セキュリティ管理策の枠組みを示しています。

ISO/IEC27018がクラウドサービスを提供する企業向けの規格に対して、ISO/IEC27017は提供する側と利用する側両方について規定した規格です。JIS Q 27017:2016としてJIS化もされています。(財)日本情報経済社会推進協会(JIPDEC)が審査機関を審査する認定機関になっていて、さまざまな審査機関によって審査が行われています。ISO/IEC27001のアドオン規格なので、認証取得にはISO/IEC27001を取得していることが大前提になります。

ISO/IEC29151:2017

2017年にISO/IEC29151(個人識別可能情報保護のための実践規範)が制定されました。個人データ取扱いに関わる多面的なセキュリティ対策のガイドラインなどを提供しています。

ISO/IEC27018はクラウドにおける個人識別可能情報保護のための実践規範でしたが、ISO/IEC29151はより広い範囲で個人データ取扱いに関わるセキュリティ対策を示しています。

さまざまな組織で一般的に適用できる情報セキュリティの管理策やPII保護の管理策の他、リスクやアセスメントによって特定される要件に対する管理策を導入するための管理目的や管理策、ガイドラインなどが提供されています。

組織の種類、規模に関わらず、民間企業や政府、公共団体、NPOなど、どのような組織にも適用が可能な規格ですが、まだJIS化はされていません。

ISO/IEC27701:2019

2019年にISO/IEC27701(プライバシー情報マネジメントシステム)が制定されました。ISOの個人情報保護に関する他の規格と整合がとれる形でマネジメントシステムを構成し、EUのGDPRの要件にも対応した管理策などが示されています。個人情報保護などのプライバシー情報セキュリティに関する総合的なISOのマネジメントシステム規格と言えるでしょう。

まだJIS化はされていませんが、ISO/IEC27001のアドオン認証を受けられることが可能で、日本では2021年に認証審査が開始予定です。プライバシー情報セキュリティのマネジメントシステムについての総合的なISO規格として、今後、各国で普及していくことが期待されている規格です。

日本の個人情報保護の規定はJIS Q 15001

個人情報保護について日本にはISOに先んじて1999年に制定されたJIS Q 15001(個人情報保護マネジメントシステム-要求事項)があります。

JIS Q 15001は「OECDプライバシーガイドライン」や「個人情報保護法」などの内容を包含していて、以下の7つ項目に関する要求事項などから構成されています。

  1. 個人情報
    • 個人情報保護法との関係
    • 具体例
  2. 個人情報保護方針
  3. 個人情報の特定とリスク分析
  4. 内部規程
  5. 個人情報の取得・利用
  6. 個人情報の管理
  7. PDCAサイクルの運用

個人情報保護法などの法の規定に関する部分は「附属書A~D」にまとめられ、法改正が行なわれても規格本体は変更せずに附属書のみを変更することで対応できる構成になっています。

Pマークは日本独自の規制

Pマーク(プライバシーマーク)は、JIS Q 15001に適合していて個人情報について適切な保護措置を講ずる体制を整備している事業者などを審査認定する制度で、プライバシーマークが付与されます。JIS Q 15001に適合しているということは、もちろん個人情報保護法も順守されているということです。

審査は(財)日本情報経済社会推進協会(JIPDEC)が認定した約20の審査機関で行なわれ、Pマークの有効期間は2年です。2020年3月時点で16,477件が認証されていて、サービス業が12,520件でトップです。個人情報保護法が施行された2005年はまだ3,656件で、それ以降急速に伸長しています。

PマークはISOではなくJISが基本になっていますので、日本独自の規制で海外には通用しません。海外展開していて個人情報保護の認証を得たい企業は、ISO規格の認証取得が必要です。

それぞれの規制・規格の違い:認証取得のおすすめは

個人情報保護に関する規制や規格がいろいろな種類があって、どれを認証取得すればよいのか悩みますね。特にISOの規格がこんなにあるとは思わなかった人も多いでしょう。どの認証を取得すれば良いのか、整理してみましょう。

Pマーク、ISO Q 15001:日本国内のみの個人情報保護規制に対応したい。

ISO/IEC27001:情報セキュリティマネジメントシステム全般を確立したい。他のISOアドオン規格認証の基本なので取得が必須。

ISO/IEC27017/27018:クラウドで個人情報を取扱う企業または利用する企業に必要。

ISO/IEC29100/29151:個人情報保護の枠組み、セキュリティ対策全般を確立したい。

ISO/IEC27701:プライバシー情報マネジメントシステム全般を確立したい。この規格はISO/IEC27017/27018、ISO/IEC29100/29151も整合して包含している。

つまり、日本国内ではPマークあるいはJIS Q 15001とISO/IEC27001、クラウドにはさらにISO/IEC27017/27018、海外展開にはさらにISO/IEC27701の取得が有効ということになります。自社の現状レベルと将来的な方向性を明確にすることが重要です。どれを認証取得するかについては、審査機関や経験豊富なコンサルティング会社などに相談するのも良いでしょう。

まとめ

個人情報保護についての規制や規格にはさまざまな種類のものがあります。規制はその国の事情や文化的背景などがあるため、その国独自のものになります。日本では「個人情報保護法」を順守することを基本とした「Pマーク」制度やJIS Q 15001などの規格があります。

ISOによる国際標準化は、情報セキュリティマネジメントシステムの基本となるISO/IEC27001は2005年に制定されましたが、個人情報保護やクラウドサービスに特化したISOの制定には時間がかかりました。2019年にようやく個人情報に関するマネジメントシステムに整合・包含したISO/IEC27701規格が制定されました。

どの制度や規格も、OECDの8原則やEUのGDPR規則などの流れを受けているので内容に大きな違いはありません。今後どの認証規格などを取得するにしても現状の自社の状況や将来展望などをよく把握したうえで取得活動に臨むことが重要です。

ISOナビでは月額4万円から取得・運用を完全サポートしております。

HACCPやISMS、Pマーク、ISO9001をはじめとする各種規格の新規の認証取得から更新・運用までサポートしております。

業界最安級の月額4万円からご利用いただけ、対応工数のゼロ化を実現します。

まずは無料相談からお気軽にお問い合わせください。

この記事を書いたライター
hikaruta

ISO9001:94年版での認証取得に関わって以来、ISO14001や医療機器品質のISO13485の認証取得・運用に深く携わり、ISOに翻弄、鍛えられたビジネスライフを経験。一線を退き、反省なども込めてISOを見つめ直しています。

hikarutaをフォローする
ISMS・ISO27001 ISO全般 プライバシーマーク
ISOナビ
トップへ戻る
タイトルとURLをコピーしました