ISOにおける個人情報保護【Ｐマーク取得の基礎知識】

個人情報保護に対する昨今の意識の高まりが日本だけのものでなく世界的な傾向であることは明白です。ネットワークを通じて情報が国境を越えて通信される今、プライバシーマーク（Pマーク）取得会社は我が国だけでなく国際的な個人情報保護の基準や法律、制度、考え方さえも意識せざるを得なくなっています。

プライバシーマーク（Pマーク）制度の標準となっているのはJIS Q 15001という日本工業規格の要求事項ですが、国際的な規格の中にもプライバシーマーク（Pマーク）と同様の個人情報保護マネジメントシステムの標準となるような規格はないのでしょうか。

ISO27001に個人情報保護の指針はあるか？

情報の取り扱いに関する国際的標準といえばISO27001でしょう。ISO27001とは情報セキュリティ分野の国際規格で、ISMS認証の要求事項となる規格でもあります。

ISO27001は基本的に情報資産全般の管理に関する指針を示した規格文書なのですが、その中にはプライバシーマーク（Pマーク）が要求するような個人情報の取り扱いに関する指針となる項目が一つあります。

具体的には「18.1.4 プライバシー及び個人を特定できる情報（PII）の保護」という項目です。

なおISOでは個人情報に対応する語として「PII」という言葉が使われています。「PII」とはPersonally Identifiable Informationの略で、プライバシー性の高い個人に関する情報のことを指しています。

ISO27001の18.1.4という項目は、主にPIIの保護を確実なものとするために関連する法令や規制の要求を遵守し、そのための事業者としての方針を定めることを求めています。

日本の場合であれば、個人情報保護法などの法律を守って個人情報を取り扱うこと、また個人情報保護方針を定めて事業者として守ることなどが関係してくるわけです。

プライバシーマーク（Pマーク）の規格は個人情報保護法を順守するのはもちろんのこと、部分的には個人情報保護法が要求する以上のことを実施することが要求されており、非常にレベルの高い規格となっていますが、ISMSの規格であるISO27001でも個人情報保護法の要求レベルを満たすことが求められているのです。

個人情報保護に特化したISO

ISO27001には個人情報保護に関する指針が部分的に含まれていますが、プライバシーマーク（Pマーク）のように個人情報保護を目的としたISO規格はあるのでしょうか。

実はISO29100という国際規格があって、こちらはまさにPII（個人情報）保護の基礎となる規格とされています。

ISO29100の主要な11の点

ISO29100では次の11の点が主要な原則、とされており、それに基づいて事業者が個々の詳細な個人情報保護の取り組みを定め、実施することとなっています。

同意と選択
目的の正当性と規定
収集の制限
データ最小化
利用、保持、開示の制限
正確性と品質
オープンさ、透明性、通知
個人の参加とアクセス
説明責任
情報セキュリティ
プライバシー法令遵守

表現は異なりますが、やはりプライバシーマーク（Pマーク）を取得・更新している会社が取り組んでいるのと同様の個人情報の取り扱いに関する要求が提示されていることが分かります。

まとめ

個人情報の取り組みは今や日本だけのものではありません。プライバシーマーク（Pマーク）取得会社として世界的な個人情報保護の考え方や制度などを理解するのもよいのではないかと考えます。
 
・こちらの記事もおすすめです

→【Pマークって日本だけ？】