ISOにおける個人情報保護【Pマーク取得の基礎知識】

個人情報保護に対する昨今の意識の高まりが日本だけのものでなく世界的な傾向であることは明白です。ネットワークを通じて情報が国境を越えて通信される今、プライバシーマーク(Pマーク)(Pマーク)取得会社は我が国だけでなく国際的な個人情報保護の基準や法律、制度、考え方さえも意識せざるを得なくなっています。
プライバシーマーク(Pマーク)制度の標準となっているのはJIS Q 15001という日本工業規格の要求事項ですが、国際的な規格の中にもプライバシーマーク(Pマーク)と同様の個人情報保護マネジメントシステムの標準となるような規格はないのでしょうか。
ISO27001に個人情報保護の指針はあるか?
情報の取り扱いに関する国際的標準といえばISO27001でしょう。ISO27001とは情報セキュリティ分野の国際規格で、ISMS認証の要求事項となる規格でもあります。
ISO27001は基本的に情報資産全般の管理に関する指針を示した規格文書なのですが、その中にはプライバシーマーク(Pマーク)が要求するような個人情報の取り扱いに関する指針となる項目が一つあります。
具体的には「18.1.4 プライバシー及び個人を特定できる情報(PII)の保護」という項目です。
なおISOでは個人情報に対応する語として「PII」という言葉が使われています。「PII」とはPersonally Identifiable Informationの略で、プライバシー性の高い個人に関する情報のことを指しています。
ISO27001の18.1.4という項目は、主にPIIの保護を確実なものとするために関連する法令や規制の要求を遵守し、そのための事業者としての方針を定めることを求めています。
日本の場合であれば、個人情報保護法などの法律を守って個人情報を取り扱うこと、また個人情報保護方針を定めて事業者として守ることなどが関係してくるわけです。
プライバシーマーク(Pマーク)の規格は個人情報保護法を順守するのはもちろんのこと、部分的には個人情報保護法が要求する以上のことを実施することが要求されており、非常にレベルの高い規格となっていますが、ISMSの規格であるISO27001でも個人情報保護法の要求レベルを満たすことが求められているのです。
個人情報保護に特化したISO
ISO27001には個人情報保護に関する指針が部分的に含まれていますが、プライバシーマーク(Pマーク)のように個人情報保護を目的としたISO規格はあるのでしょうか。
実はISO29100という国際規格があって、こちらはまさにPII(個人情報)保護の基礎となる規格とされています。
ISO29100の主要な11の点
ISO29100では次の11の点が主要な原則、とされており、それに基づいて事業者が個々の詳細な個人情報保護の取り組みを定め、実施することとなっています。
同意と選択
目的の正当性と規定
収集の制限
データ最小化
利用、保持、開示の制限
正確性と品質
オープンさ、透明性、通知
個人の参加とアクセス
説明責任
情報セキュリティ
プライバシー法令遵守
表現は異なりますが、やはりプライバシーマーク(Pマーク)を取得・更新している会社が取り組んでいるのと同様の個人情報の取り扱いに関する要求が提示されていることが分かります。
まとめ
個人情報の取り組みは今や日本だけのものではありません。プライバシーマーク(Pマーク)取得会社として世界的な個人情報保護の考え方や制度などを理解するのもよいのではないかと考えます。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]