2017年12月20日、プライバシーマーク等のベースになる「JIS Q 15001」が改訂されました。これに基づき、審査も様変わりすると思われます。今回はこの改正内容について触れて行きたいと思います。
参照日本工業標準調査会(JISC)
参照JIS改正に伴うプライバシーマーク審査基準の改正について/JIPDEC
この記事の目次
「JIS Q 15001」改正の方向性
…と、始めたものの。少し眩暈がしてます。どこから突っ込んでいいのやら…
大きな方向性として、章立てがISOマネジメント規格で使用している「HLS(High Level Structure)」に合わせることになりました。ISO27001やISO9001と同じ形です。これにより、他の規格や内部統制などに規定を統一しやすくなることを目指しています。その為、本文はそこまで酷くはありません。
問題が大きいのは、附属書A、Cの管理策と安全管理措置です。これらに関しては、しっかり内容を理解し、議論してきたのか”疑わしい”項目がかなりあります。詳しく見ていきましょう。
「個人情報」だけしか見ていない?
まず、指摘したいのが『A.3.3.4資源、役割、責任及び権限』について。ここでは、「”少なくとも決めるべき”責任者」が書かれています。
個人情報保護管理者
個人情報保護監査責任者
の2つ。これはもちろん必要ですね。しかし、それだけで良いのでしょうか。「特定個人情報(マイナンバー)管理責任者」と「特定個人情報取扱責任者」も決めるべきでは?
ISOであれば、この2つで良いかも知れません。マイナンバー制度は日本固有の法律ですからね。でも、これは「JIS」です。日本国内の基準です。個人情報でもある特定個人情報の管理に必要な、ガイドラインで定められている責任者は“少なくとも”決めるべきでしょう。あれほど大騒ぎしたマイナンバーは、忘れられてしまったのでしょうか。
「文書化」としているのは日本だけ
次に『A3.3.5内部規程』では、「次の事項を含む内部規程を文書化し、かつ維持しなければならない」とあり、a)~o)まで15個の規定が記されています。〇〇規定というものを15個も”文書化”して維持しなきゃいけないなんて、正直めんどくさい。これだけで取り組むのがイヤになります。
ここで『本文3用語及び定義』に戻ってみましょう。「文書」とはどういう定義が為されているのでしょうか。
なぜ「文書化」と表現されたのか
実は用語に「文書」という言葉は無いのです。あるのは「文書化した情報」という言葉。
これはISOの翻訳の問題です。ISOでは元々、文書を意味する「papers」を使っていません。文書以外も含む「document」を使用しており、さらに、documentの中の情報こそが重要だということで「documented information」を使っています。文書に限らず、データでも映像でも音声でも動画でも、第三者に伝わるようになっていればそれで良いんです。
それを日本語訳した際に「文書化した情報」となり、誤解され、さらにJIS Q 15001の管理策では「情報」まで無くなって「文書化」となってしまったのです。
本文との整合性が取れていない
そもそも本文の「7.5.3文書化した情報の管理」を見てみれば、
c) 配布、アクセス、検索及び利用
d) 読みやすさが保たれることを含む、保管及び保存
e) 変更の管理(例えば、版の管理)
等とあります。それなのに、15もの規程を文書で作って管理しろというのは、本文との整合性がないでしょう。これでは現場で”規程を守ろう”という意識が薄れてしまいます。仕組みとして本末転倒です。
ISO27001付属書Aの語句を置換しているだけ
次に『A3.4.3.2安全管理措置』です。”どうやって個人情報を守るか”という話ですね。
ここは『付属書C』を参照となっています。その付属書Cを見てみると、最初のページから、
“個人情報セキュリティ”とは、個人情報に係る情報セキュリティを意味し、
“個人情報処理施設”とは、個人情報に係る情報処理施設を意味し、
“個人情報分類体系”とは、個人情報に係る情報分類体系を意味し、
…と、同じような用語定義が13回続きます。この定義は必要なのでしょうか。
そして内容については、ISO27001の付属書Aをほぼそのまま踏襲しています。…が、意味をよく理解していないまま踏襲しているようです。とにかく、「情報」を「個人情報」に”変えているだけ”です。
意味を理解していないまま踏襲している
極めつけが『C14.1.3アプリケーションサービスのトランザクションの保護』の部分です。
アプリケーションサービスのトランザクションに含まれる個人情報は、次の事項を未然に防止するために、保護することが望ましい。
ということなのですが、個人情報を保護することで防止されるのが、
不完全な通信
誤った通信経路設定
…そんなもんに個人情報使うか!!!
トランザクション保護の意味とは
例えば、オンラインショップで何か買おうとしたときに、通信障害が起きたとします。すると、パソコン側ではボタン押したけど、ショップのサーバ側ではボタンを押された情報が入ってこない状態になる可能性があります。これでは困るので、PC側とサーバ側では取引成立したのか否かを一致させ続けなければなりません。この一致させる処理を「トランザクション」と言います。
トランザクション情報全体の中に、個人情報が含まれることはあるかも知れません。ですが、不完全な通信を防ぐためや経路設定に、個人情報を使うなんてことは、まず有り得ません。トランザクションの保護の意味を理解せず、単純に「情報」を「個人情報」に置換しただけにしか思えません。
このような状態なのであれば、無理にISO27001の管理策を使わず、マイナンバーガイドラインの安全管理措置を目安にした方が良いように思われます。
プライバシーマークの審査はどうなる?
A3.4の段階でコレです。「匿名加工情報」や「外国にある第三者への提供」など、個人情報保護法改正のポイントになるようなところを飛ばしてもコレです。読めば読むほど”これをJISとして出すのか…”感でいっぱいです。
もう、改正は早急に検討してもらわなければなりませんが、JISとして正式に発表してしまった以上、簡単ではないでしょう。
問題は、プライバシーマーク等の審査です。これを絶対の基準で審査されてしまうと、今まで以上に”ガチガチ”の要求になりかねません。一応、0.1概要もISO27001の真似をしており、「組織のニーズに合わせた規模で行うことが期待される」の一文があるので、審査員がある程度ハンドリングできる理由にはなりそうなのですが。
JIPDECの審査基準の発表は1月中旬予定となっています。ここでどんな判断が為されるか。発表が待たれるところです。
参照日本工業標準調査会(JISC)
参照JIS改正に伴うプライバシーマーク審査基準の改正について/JIPDEC