深情報セキュリティ美学

情報セキュリティ・ガバナンスの構築について相談を受けることが増えている。企業などの組織において、それを構築することが必要あるいは重要だと見聞きしてきて、やってみようと思ったけれど、いざどうすればよいのかについてがわからなくなったので相談したいというのである。

相談されたときには、「情報セキュリティ・ガバナンスってどういうことだと考えていますか？」を伺うようにしているが、漠然としていることが多い。

はじめに

　国際規格ISO/IEC 27701「Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management（プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張）」が、ISO/IEC 27001と27002に対する拡張規格として発行された。27001は情報セキュリティ・マネジメントシステム（ISMS）要求事項の規格であり、ISMS認証の基準となる規格である。27701は、27001への追記事項を記述したものであり、単独で認証基準として使えるものではなく、現状ではISMS認証を受ける中で拡張審査を受けることになる。

　27701の発行前も、個人情報保護に関する国際規格としては、27002の拡張規格として、ISO/IEC 29151（Code of practice for personally identifiable information protection）があるため、これまででも27001+27002+29151で個人情報保護のためのマネジメントシステムを構築することが可能である。ただ、27002の拡張としての29151では、管理策対応だけなので、リスクマネジメントを扱う27001についても、拡張規格が必要ではないか、という議論が行われて開発されたのが27701である。

　27701は27001と27002の両方の拡張となっている。当初は、27002への拡張として既に29151があったので、27001への拡張を別に開発することで、2つに分けて開発することも検討されたが、それぞれの拡張は一体のものであるため、1つの規格として開発された。

　27701の使われ方であるが、27001に基づくISMS認証を取得している組織が、その拡張として27701を追加するというのが自然な使い方だと思われる。なぜなら、ISMS認証を取得していない組織が、27701に対応するためには、27001及び27002に対応することになるため、個人情報とは関係ない情報セキュリティ対策もしなければならなくなるからである。

　ISO/IEC 27701（以下、「27701」）について、以下のとおり解説する。

目次

１. 規格開発の背景と発行までの議論の経緯について

２. 規格のタイトル、全体構造、27001/27002との関係、適用範囲について

３. 27001/27002に関する固有要求事項とガイダンスについて

４. 27002に付加されたPII管理者・PII処理者向けのガイダンスについて

５. 附属書の活用方法について

この投稿は、PDFファイルをダウンロードしてご覧いただくことができます。

また、文章の概略を講演した内容を YouTube で閲覧（約15分間）していただくこともできます。

「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集について
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000053&Mode=0
（2019年4月25日から2019年5月27日まで実施）
に対して以下のとおり意見を提出しました。

【意見１】
（該当箇所）
中間整理において出されていない論点を提案します。
（意見）
個人情報の利用目的の特定に際して、利用目的が適切な内容であることを明示的に求めることを提案します。
そのための一案として、個人情報保護法第十五条（利用目的の特定）について、以下のように見直すことを示します。
見直し案：「」部分を追記
第十五条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）を「個人の権利利益を侵害しないものとして、」できる限り特定しなければならない。
現行法：
第十五条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。
（理由）
現行法においては、利用目的を特定することを求めていますが、その内容については法条文において規定していません。そのため、利用目的の内容が不適切であっても、それを特定さえしていれば、法を遵守したことになり得ます。
たとえば、事業者が電話による広告活動をする場合には、それを利用目的とすることができます。しかし、しつこい勧誘電話は迷惑行為であり、個人の権利利益を侵害していると言えます。そのような利用は規制されるべきだと考えます。
現行法においては、電話をするために必要な電話番号が個人情報に該当するか否かで、保護の対象とするかが決まります。電話番号が個人情報に該当するためには、特定の個人を識別できるかなどが要件になります。しかし、その該当性について、個人情報の有用性に配慮するために、個人情報の該当性の範囲を狭めることを、迷惑行為をしない事業者が求める傾向にあります。本来は、個人情報の該当性を広くした上でも、利用目的の適正性が規制されるならば、適正な利用を目的とする事業者が個人情報の該当性を狭めることを殊更に求めることは軽減されるものと考えます。
また、他の例として、たとえば、現行法では、個人情報を第三者に提供することを利用目的に含めることが容易にできてしまいますが、その提供が個人の権利利益を侵害し得ると考えられるのであれば、当該利用目的そのものについて規制されるべきだと考えます。
したがって、利用目的については、特定する以前にまず、それが個人の権利利益を侵害しないものであることを規定し、仮に、利用目的そのものが不適切である場合には、それについて個人情報保護委員会が指導・助言をできるようにすることを提案します。

【意見２】
（該当箇所）
中間整理において出されていない論点を提案します。
（意見）
利用目的の通知等に際して、事業者の意図していることが本人に明瞭に通知等されることを明示的に求めることを提案します。
そのための一案として、個人情報保護法第十八条（取得に際しての利用目的の通知等）について、以下のように見直すことを示します。
見直し案：「」部分を追記
第十八条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。「利用目的を通知又は公表するに当たっては、その内容及び方法が欺瞞的であってはならない。」
現行法
第十八条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
（理由）
法第十五条において、利用目的の特定が求められていますが、事業者は特定した利用目的を本人に誤解をあたえない表現や方法で通知又は公表する必要があると考えます。
個人の権利利益を保護するためには、事業者が特定した利用目的の内容を本人があらかじめ誤解なく知る必要があります。
したがって、利用目的については、事業者が特定した利用目的と、本人が認識した利用目的に祖語が生じにくいようにする必要があり、仮に、利用目的の通知等の内容及びその方法が本人が正しく認識する上で不適切である場合には、それについて個人情報保護委員会が指導・助言をできるようにすることを提案します。

【意見３】
（該当箇所）
中間整理において出されていない論点を提案します。
（意見）
個人情報の取得に際して、事業者が通知等した利用目的について、本人から同意を取得すること（いわゆる、オプトイン）を求めることを提案します。
（理由）
法第十八条において、個人情報の取得に際しての利用目的の通知等が求められていますが、事業者は通知等だけではなく、利用目的への同意を取得することを求める必要があると考えます。
オプトインについては、個人情報保護法が施行された2004年当時から、日本工業規格「個人情報保護マネジメントシステム」（JIS Q 15001）の要求事項になっており、近年ではGDPRでも求められていることから、多くの事業者が既に遵守しているため、事業者の事業規模によらず著しく困難な規定ではないものと考えます。
日本における個人情報保護を国際的な水準に合わせるためにも、オプトインを求めることを提案します。

【意見４】
（該当箇所）
中間整理において出されていない論点を提案します。
（意見）
個人情報保護委員会が、個人情報保護法及び番号法に限らず、個人情報の保護に係る法令等全般についての取り組みをできるように、必要であれば関連法令等の改正をすることを提案します。
（理由）
個人情報の保護に係る法令は、個人情報保護法だけではなく様々な分野の法令があります。しかし、個人情報保護委員会は、個人情報保護法及び番号法以外の法令について直接的な取り組みをすることができません。しかし、民間における事業等は、個人情報保護法に基づいて推進されるわけではなく、情報の取扱いにおけるコンプライアンスの一環として個人情報の保護に努めることになります。そのため、個人情報保護委員会には、個人情報の保護に関係する事業活動を全体的に指導・助言等していただけることを期待します。
たとえば、迷惑メール防止法（特定電子メールの送信の適正化等に関する法律）は、いわゆる広告を目的とした電子メールの送信の適正化を規定しており、これは個人情報保護法においては、電子メールアドレスの利用や利用停止の制約と密接に関連するとともに、オプトインや送信者とその連絡先を明記するなど、個人情報保護法にはないことも規定されています。迷惑メール防止法が施行された直後は、これらが遵守されていた時期もありましたが、個人情報保護法の啓発が進む半面、迷惑メール防止法の認知がむしろ下がっているようにすら感じられます。
同様の法令としては、特商法（特定商取引に関する法律）もあり、両法律の周知が推進された時期には、オプトインしていない電子メールの件名に「広告メール」の表記がされるなど事業者による遵守も進んだように思いますが、昨今は、個人情報保護法による利用目的の通知又は公表で足りるとの誤解から、広告メールについてオプトインが法的義務であるとの認識が低くなっていると思われます。特商法については、電子メールに限らないものであり、広告全般についてオプトインが求められていますが、郵送や電話連絡についても同様な状況が見受けられます。
これらのことは、個人情報保護委員会による個人情報の説明がされるほどに、事業者に誤解を与えてしまう危険性があります。法規制の基本的な知識として、個人情報保護委員会は、個人情報保護法だけに責任を持っており、事業者はその活動においては、個人情報保護法以外のすべての法令を遵守することは当然のことではあります。しかし、委員会から「個人情報の利用目的をあらかじめ通知又は公表しなければならない」とだけ示されたときに、他の法令において「事前の同意を得なければならない」という規制があることを見落としがちです。
この誤解を軽減するためには、個人情報保護委員会がオプトイン規制を求めている法令があることの説明も加えるのがよいと思いますが、設置法上、他の法令に言及する活動がしにくいのであれば、そのために必要な関連法令等の改正をすることを提案します。

【意見５】
（該当箇所）
３．利用停止等に関する状況（１２ページ）
（意見）
利用停止等のうち、削除の義務を現行法より厳格化する場合には、削除の具体的な要件についてガイドラインに定める際に、改めて実務に沿った内容として見直すことを提案します。また、削除が厳格化されたことを消費者に周知する際には、利用停止が本人の希望である場合に削除を依頼することは、利用停止に遅延が生じたり、安全上必要な連絡を受けることができなくなったりすることなども併せて周知するようお願いします。
（理由）
利用停止については、中間報告にあるとおり徹底することが必要であり、事業者は責任を持って行なうべきであると考えています。
一方で、削除については、個人情報の管理にＩＴシステムを使用している場合に、以下のような観点での具体的な要件を実務に沿って定められることが重要であると考えています。
１．バックアップデータの削除における要件について
ＩＴシステムにおいては、システム全体のデータのバックアップを取っている場合などもあり、その中に含まれる個人情報を個別に削除することは、実務上困難です。また、クラウドサービスを利用している場合には、クラウドサービスを利用する事業者がその削除を指示することは不可能な場合もあります。これらが削除の代替措置として認められるようなガイドラインの作成など、実務に沿った要件を定めてもらうようにお願いします。
２．利用停止を徹底するために必要なデータの削除について
利用停止を徹底するために、データが必要な場合もあります。
たとえば、電子メールの利用停止において、メール送信を迅速に停止するためには、事業者内のメールアドレスの利用停止や削除の手続きをするとともに、最終的なメール送信システムに、送信禁止アドレスのリストを登録する場合があります。事業者が個人情報を取得する機会は、一度だけとは限らないため、保有している個人情報を削除しても、その後新たに取得するとまた利用が再開されます。もしも、本人の希望が利用停止であるならば、削除よりも、送信禁止アドレスのリストに登録される方が、利用停止が徹底されることになります。
一部の消費者には、削除の依頼が利用停止の依頼よりも強固な手続きであるとの誤解があるように思われます。それぞれの依頼に違いがあることを消費者に周知することは事業者の責任でもありますが、これらの義務を厳格化する場合には、削除の場合には利用停止が継続しないことや、場合によってはリコールの連絡が行われなくなることなど、その違いについての周知も併せて推進していただくことを提案します。

【意見６】
（該当箇所）
４．オプトアウト規定と名簿屋対策の状況（１４ページ）
（意見）
個人情報を第三者に提供する同意を取得した際の確認記録に関係する義務は、取得の際の利用目的に応じた適当な義務として緩和する見直しを提案します。
（理由）
前回の改正で、オプトアウト規定が厳格化されるなど、いわゆる名簿屋を想定して規定した内容については、名簿屋以外の事業者にとっては、過度に厳しいものになっています。名簿屋を特定することは難しいと思われますが、たとえば、個人情報の利用目的の内容により、名簿屋のような利用をしない事業者については、名簿屋と比較して緩和した記録義務となるように見直すことを提案します。

「個人情報の保護に関する法律についてのガイドライン（通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編）（案）」に関する意見募集について
　http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000025&Mode=0
（2016年10月04日から2016年11月02日まで実施）
に対して以下のとおり意見を提出しました。

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募について
　http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595114087&Mode=0
（2014年9月26日から2014年10月28日まで実施）
に対して以下のとおり意見を提出しました。

政府の「パーソナルデータの利活用に関する制度改正大綱」に対する意見募集について
　http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=060140625&Mode=0
（2014年06月25日から2014年07月24日まで実施）
に対して以下のとおり意見を提出しました。

「文書の電磁的保存等に関する検討委員会」の報告書が発表されました。

http://www.meti.go.jp/policy/it_policy/e-doc/

文書の電磁的保存の際の注意点などについてをまとめたものとして、よい報告書になっていると思います。
ただ、意図的にふれなかったことがあるので、ここで紹介しておきます。

経済産業省 個人情報保護法ガイドラインのQ&Aを強化するための検討会が発足しました。
委員としてお声がけをいただいたので、会合に参加しました。

機密データの入ったディスクを修理や廃棄する際のセキュリティ対策について、まちがった慣行が日本にはある。
それは、交換パーツや廃棄パーツとして持ち帰るデータの消去について、修理などをするベンダーにだけ頼ろうとすることだ。

この「深情報セキュリティ美学」については、当初方針として、まとまった文章を掲載しようとしていましたが、なかなかとそういう時間は取れそうにないのと、そもそもそういう内容をブログとして掲載するという方針に問題があることに今さらながら気づきました。

ということではありますが、せっかくなので、この「深情報セキュリティ美学」はそのまま残すことにして。

いわゆる、ブログ的な、お気軽なものを「砂糖の甘い付箋」として開設しました。

今後は、そちらには、今までよりは頻度を上げてアップしていこうと思います。

個人情報保護法全面施行　元旦