砂糖の甘い付箋

統計数のように扱ってしまうと、数字の問題のように思えてしまうが、一番若い26歳看護師の詳細の記事を読むと、人命のこととして切なくなる。
参考記事：コロナワクチン接種の4日後に急死した26才女性　因果関係はあったのか

この人の具体的な内容は、厚労省の報告書の事例２で評価されている。
参考資料：新型コロナワクチン接種後の死亡として報告された事例の概要

「ワクチン接種と急死との因果関係が否定できないものはない」という説明や報道がされているわけだけれど、厚労省報告書を見てもわかるとおり、評価結果は、「因果関係が否定できないもの」と「因果関係が認められないもの」の2択ではない。
すなわち、「因果関係が否定できないものがない」＝「因果関係が肯定できるものがない」という事例が、「因果関係が認められない」にはなっていない。
実際には3択目として、「情報不足等により因果関係が評価できないもの」があり、全件がこれになっている。
評価結果の報告書なのに、全件が「評価できない」という評価結果になっている。
それなのに、「因果関係が否定できないものはこれまでない」という説明に使われている。

ただし、因果関係が評価できていないのは、行政が何か恣意的にしているわけではなく、死亡者遺族が解剖検査を拒むことによるようなので、どこかに悪意や隠蔽の意図があるわけではないと思われる。

しかし、そもそも、従来のインフルエンザワクチンでは、4159万人の接種で1人の死亡については、「ワクチン接種との因果関係が否定できない」とされており、死亡までしないにしても、後に回復する重篤化については、10万人に1人くらいとされている。
それなのに、新型コロナワクチンだけがゼロのわけがないと考えるのが合理的だと思う。
参考記事：【新型インフルワクチンの副反応】死亡例133件も、接種との関連認められず

このあたり、日本の危機管理の本質的な課題のように思う。
リスクとは存在していて、それをある程度許容し、リスクを残存させるという選択が基本的な考え方とされている。
選択のひとつには、リスクの回避というものがあるが、それは、本来やろうとしていることをしないという選択。
新型コロナワクチン接種の場合で言えば、接種しないというのがリスク回避になる。
リスクを回避しないのであれば、すなわち、接種するのであれば、ある程度のリスクを残存させたことにしかならない。

原発の安全神話でも同じだったが、日本では、リスクはないということにして、物事を進めてしまうことが多いと思う。

リスクがあることは正直に説明した上で、全体利益のために、リスクを許容する選択をしてほしいと説明しなければ、どんどんと信頼を失ってしまうのではないかなと心配になる。

ワクチン接種と急死との因果関係が否定できないものはない。というのではなく、因果関係が認められない（と断定できる）ものは（今のところ）ない。というのが、残存リスクを正しく伝えるために必要な表現だと思う。

それを踏まえた上で、社会全体のためには、ワクチン接種はするべき（してほしい）という考え方を示さないと、原発災害と同じで、リスクはないという建前が足かせとなって、逆にリスクを軽減するための対策が疎かになったり後手に回ったりしてしまうのではないかと思う。

ISO/IEC 27701とは

　これは、ISMS（情報セキュリティマネジメントシステム）の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS（プライバシー情報マネジメントシステム）の構築を支援することを目的とした国際規格です。27701は、日本工業規格化はされていませんが、日本語対訳書が2020年3月に出版されています。

　27701は、PIMSを構築するためのものですが、独立したマネジメントシステムではなく、ISMSによるマネジメントシステムの拡張として規定されています。

　また、27701を基にしてISMSの審査及び認証を行う機関に対する要求事項の開発が2019年12月に開始され、2021年2月にISO/IEC 27006（情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項）のPart 2（PIMS）が技術標準として発行され、現在対訳書が準備中です。27006-2については、さらに内容を充実させるための国際標準化の審議が継続されています。

　国内では、27701を基にしたISMS-PIMS認証が2020年12月から開始されており、既に認証を取得した組織もあります。

27701と15001の位置付け

　日本では、個人情報保護マネジメントシステムとしての日本工業規格として、JIS Q 15001が1999年に発行されています。こちらは、27701とは異なり、独立したマネジメントシステムとして規定されています。15001を基にした個人情報保護マネジメントシステムの認証としては、JIPDEC（一般財団法人日本情報経済社会推進協会）によるプライバシーマーク制度や、JAPiCO（一般社団法人日本個人情報管理協会）によるJAPiCOマーク制度などが普及しています。

　27701と15001は、将来どちらか１つに統合されるものではなく、異なる２つのマネジメントシステムを構築するためにそれぞれ利用することができるものです。

　15001の最新の改正は2017年に改正されましたが、この改正により、マネジメントシステムの要求事項は、ISMSの27001とほとんど同じになりました。異なるのは、管理目的と管理策の包括的なリストである附属書の内容と、それらを実施するための規範の内容になります。

　27701の管理目的、管理策及び規範は、国際標準であるISO/IEC 29100（プライバシーフレームワーク）に基づいています。29100は、対応する日本工業規格が2017年にJIS X 9250として発行されています。

　15001の管理目的、管理策及び規範は、日本の個人情報保護法に基づいており、それに利用目的の事前同意取得（オプトイン）を求めるなどの要求事項を追加した内容になっています。

 国際標準と国内法の違い

　国際標準が国内法と異なる点はいくつかありますが、その一つは、保護の考え方です。国内法では、その名のとおり個人情報を保護しようとします。たとえば、電話番号については、どういう状況なら電話番号が個人情報になるのかを考え、それに該当するなら保護します。他方、欧米では、電話番号は疑いなく個人情報とした上で、個人情報の利用を保護しようとします。たとえば、夜間に電話できる時間帯を制限したり、職場に個人の投資信託のセールス電話をかけたりすることは、プライバシーを侵害することとして保護します。しかし、職場の電話番号に職場で必要な事務用品のセールス電話をかけることはプライバシーの侵害としません。つまり、電話番号が何かではなく、電話番号を使って何をするかに制限をかけようとします。 これについて詳しくは、以下のコラムで紹介しています。

• デジタル・フォレンジック研究会 第596号コラム「個人情報保護法改正に向けて」

　プライバシー対策を個人情報保護対策と訳して考えてしまうと、それらに違いがあることにとまどうかもしれませんが、上記の前者を個人情報保護対策、後者をプライバシー対策と区別して考えれば、わかりやすくなると思います。実際にも、個人情報保護を英訳すれば、protection of personal informationあるいはpersonal information protectionであり、privacy protectionではありません。そのため、プライバシーを保護するという表現はあまりされず、プライバシーの尊重(respect for privacy)という表現をします。プライバシーを尊重するために、個人情報を保護するという建付けを欧米ではしており、国際標準はその考え方に基づいています。

　国際標準と国内法の異なる点としては、PII管理者とPII処理者を区別することもあります。（PII:Personally Identifiable Information）これについては、以下のコラムで紹介しています。

• デジタル・フォレンジック研究会 第559号コラム「クラウド時代の情報管理：情報の管理者と処理者を区別することの重要性」

　その他にも、異なる点がありますが、27701の規格文書の構成については、解説動画としてまとめてあります。

• YouTube 「[15分でわかる] ISO/IEC 27701 PIMS概要」

　規格の開発経緯は、以下の記事で紹介しています。

• ブログ「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」

 27701と15001の使い分け

　以上のように、組織が構築するマネジメントシステムで国際標準に合わせたいなら27701を、国内法に合わせたいなら15001を利用するという使い分けをすることができます。