プライバシー情報管理は国際標準化されたリスクベースアプローチで

プライバシー情報管理の国際標準であるISO/IEC 27701が2019年8月に発行された。これまでは国毎、業界毎に定めていたルールが、今後はこの国際標準に基づいて統一される可能性がある。今回は、昨今のプライバシー情報管理の状況と今後の展望を確認してみよう。

ますます高まるプライバシー情報管理の重要性

インターネットの普及とともにプライバシー情報(個人情報)の漏えい事件が数多く繰り返され、近年になってもその数は減ることがない。2019年7月に公表された「情報セキュリティ白書2019」でも、様々な個人情報漏えい事件を紹介している。

個人情報漏えいの要因は、「外部からの攻撃」「人為的な過失」「内部者の不正」など様々だ。それぞれに技術面あるいは運用面の対策を講じているわけだが、それでも個人情報漏えい事件は今後も減らないだろう。

減らない要因としては、外部からの攻撃や、内部者の不正が年々巧妙化していることもある。一方、プライバシー情報管理の方法が複雑化して、人為的な過失が発生しやすいことも見逃せない。

現状は国毎・業界毎のローカル基準で運用

日本国内でプライバシー情報を取り扱っている組織では、その組織の管理水準を示す方法として、プライバシーマーク(Pマーク)を取得しているケースが多いだろう。Pマークは運用開始から20年以上が経過し、2019年9月時点で約16,000社が取得している。

一方、米国では業界毎や州毎にプライバシー情報の取り扱いを立法化する傾向にある。例えば医療分野におけるプライバシー情報の取り扱いに関しては、HIPAA(米国医療保険の相互運用性と説明責任に関する法令)で定められた要件に準拠することが求められる。また近年では、国が定めるガイドラインとして、NIST(米国国立標準技術研究所)がPrivacy Frameworkの策定を進めており、2019年末の公開を目指している。

EUでは、GDPR(一般データ保護規則)が2018年5月に施行され、プライバシー情報の厳格な管理と罰則が設けられた。加えて、EU域外へのプライバシー情報移転について、管理水準がEUと同程度と認められた国や地域にのみ許可する制度が運用されており、国家間のすり合わせも必要となっている。

プライバシー情報管理の国際的な統一基準が必要

このように、国毎・業界毎に基準が定められると、プライバシー情報を取り扱う組織では、運用が複雑化してしまう傾向にある。特に自社サービスをグローバル展開しているような組織では、対応すべき各国、各業界のすべてのルールに従う必要があり、それらのルールの微妙な差異に悩まされているのが実情だ。

EUにおけるGDPRの施行により、日本国内でも多くの組織がその対応を迫られる結果となった。一般市民の立場としては、自分のプライバシー情報が厳格に保護されるようになるのは望ましい。しかし一方で、サービスを提供する事業者側の運用に負荷がかかり、結果として利用者の利便性が落ちたり、コスト高になったりする可能性は否めない。

冒頭で紹介したISO/IEC 27701は、プライバシー情報管理の基準を定めた国際基準である。その策定の背景には、上述したような、国毎・業界毎のバラバラな基準を統一したいという目論見がある。

ISMSベースでリスクマネジメントを

ISO/IEC 27701の特徴は、既存のISO/IEC 27001/27002を拡張したガイドラインであることだ。ISO/IEC 27001/27002を基準とした「ISMS認証」は、日本国内では情報セキュリティマネジメントシステム(ISMS)として広く普及している。プライバシー情報のみを切り出してPマークに対応するのではなく、プライバシー情報を含めたISMSを確立することで、複雑化しがちなプライバシー情報管理を効率的に取り扱うことが可能となるだろう。

そして、適切に構築されたISMSの元で行えば、プライバシー情報管理に関するリスクマネジメントも適切に実施されるようになる。これは大きな利点であり、冒頭で紹介した個人情報漏えい事件の減少につながるかもしれない。

既存のプライバシー情報管理の取り組みは、一度定めたやり方を厳格に実施することを求めるがあまり、リスクに応じて柔軟に対応しにくい傾向にある。一方、ISMSでは定期的なリスク評価と改善を行うことを求めているため、例えば「外部からの攻撃」や「内部者の不正」などで手口が巧妙化したとしても、それに対抗した対策を取り入れやすくなる。

ISO/IEC 27701が将来普及するかは現時点では不透明だが、プライバシー情報管理では、定められた管理手順に従うだけではなく、リスクベースアプローチで改善していくことが重要である。